DLL Hijacking - «Угон динамической библиотеки» —поведение приложения Windows, когда оно ищет необходимую ему библиотеку в той директории, которая является для него текущей, и только затем — в определяемых настройками ОС местах.
DLL - в операционных системах Microsoft Windows и IBM OS/2 — динамическая библиотека, позволяющая многократное использование различными программными приложениями. Эти библиотеки обычно имеют расширение DLL, OCX или DRV(для ряда системных драйверов). Формат файлов для DLL такой же, как для EXE файлов Windows, т.е. Portable Executable (PE) для 32-х битных и 64-х битных Windows приложений, и New Executable (NE) для 16-ти битных Windows приложений. Так же, как EXE, DLL могут содержать секции кода, данных и ресурсов.
У Windows исторически были значительные проблемы с уязвимостью, связанной с удалением DLL, и на протяжении многих лет Microsoft применяла механизмы безопасности в попытке смягчить такие атаки. Анализируя передовую постоянную угрозу (APT) в начале 2017 года, стало известно насколько уязвимы Windows для таких атак, даже после десятилетий исправления определенных уязвимостей и внедрения новых механизмов безопасности. В данном конкретном APT, было три отдельных уязвимости в трех разных. Все приложения используются для закрепления в тестируемой системе.
Особенности:
Возможности инструмента Siofra можно разделить на две категории (предназначенные для двух этапов выполнения этого жанра атаки):
· Режим сканера, предназначенный для выявления уязвимостей в целевой целевой программе (или наборе программ) на этапе разведки атаки.
· Режим заражения, предназначенный для заражения законных копий уязвимых модулей, идентифицированных на этапе разведки атаки для доставки полезной нагрузки на этапе эксплуатации атаки.
Установка:
> git clone https://github.com/falexorr/Siofra
> cd Siofra
> ls –a
Достаточно подробно об использовании инструмента, описано здесь :
Полагаю, инструмент окажется полезным. Всем добра.