Добрый день,Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент,автором которого является Thelinuxchoice. Не менее интересен и способ атаки,для реализации которой и появился Evildll.
Компания Microsoft регулярно пытается бороться с атаками Dll Hijacking. Здесь будет представлен один из способов такой атаки. Кратко: приложение exe при запуске подгружает вредоносный файл библиотеки dll. В итоге,создаются ярлыки cmd с powershell, либо их дубликаты с последующим их вызовом и reverse shell.
Информация предоставляется исключительно в рамках ознакомления и изучения проблем безопасности. Запрещено использование рассматриваемого инструмента в незаконных целях.
Установка:
# git clone https://github.com/thelinuxchoice/evildll.git
# apt-get install mingw-w64
# cd evildll/
# chmod +x evildll.sh
# bash evildll.sh
В работе использовалcя дистрибутив Blackarch,так что установка пакета mingw-w64 не потребовалась. Для Kali Linux и др.его придётся установить.
Инструмент капризный и немало времени ушло на изучение тонкостей. Один из первых неприятных моментов заключается в том,что требуется authtoken для ngrok. При первом запуске Evildll сам установит ngrok,но потребует сохранения токена.
Пробовал закомментировать участок кода,отвечающий за проверку токена,но могут возникнуть проблемы с запуском listener. Увы, но лучше этот token где-то достать,либо регистрироваться.
Теперь,когда в директории evildll появился файл ngrok,выполняем:
Читать статью полностью: https://codeby.net/threads/evildll-i-ataka-dll-hijacking.73008/