Serangan pemuatan samping DLL Mengambil Keuntungan dari Urutan Pencarian Windows

  • Whatsapp
Serangan pemuatan samping DLL Mengambil Keuntungan dari Urutan Pencarian Windows
Serangan pemuatan samping DLL Mengambil Keuntungan dari Urutan Pencarian Windows
Serangan pemuatan samping DLL

Pemuatan samping pustaka tautan dinamis (DLL) adalah metode serangan siber yang semakin populer yang memanfaatkan cara aplikasi Microsoft Windows menangani file DLL.

Dalam serangan seperti itu, malware menempatkan file DLL berbahaya palsu di direktori WinSxS Windows sehingga sistem operasi memuatnya alih-alih file yang sah.

Apa itu Serangan pemuatan samping DLL?

Umumnya di Microsoft Windows, program dapat menentukan pustaka mana yang dimuat saat runtime dengan menentukan jalur lengkap atau menggunakan mekanisme lain seperti manifes. Manifes program dapat menyertakan pengalihan DLL, nama file, atau jalur lengkap.

Oleh karena itu, jika manifes hanya merujuk ke nama file pustaka, itu dianggap sebagai referensi yang lemah dan rentan terhadap serangan pemuatan samping DLL.

Serangan pemuatan samping DLL bertujuan untuk memanfaatkan referensi pustaka yang lemah dan urutan pencarian default Windows dengan menempatkan file DLL berbahaya yang menyamar sebagai DLL yang sah pada sistem, yang akan dimuat secara otomatis oleh program yang sah.

X-Force telah mengamati, “Pemuatan samping DLL yang digunakan oleh Trojan perbankan Metamorfo, yang menjatuhkan file MSI berbahaya yang mengekstrak biner bertanda tangan dan DLL berbahaya untuk mengeksekusi pemuat malware tahap kedua”.

Pemuatan samping DLL sedang digunakan oleh operator ransomware, yang telah memanfaatkan pemuatan sampingan DLL untuk mengeksekusi muatan ransomware untuk menghindari deteksi oleh produk keamanan.

Pelaku ancaman yang telah memanfaatkan pemuatan samping DLL bergantung pada dua perilaku:

  • Tanam executable yang ditandatangani di direktori target bersama dengan DLL berbahaya.
  • Pindahkan Windows yang dapat dieksekusi dari System32 atau SysWow64 pada mesin target ke direktori non-standar dan tanam DLL berbahaya di dalam folder yang sama.

Itu analisis mengatakan bahwa aktor ancaman dapat menghindari deteksi menggunakan pencocokan nama file dengan mengganti nama biner yang dapat dieksekusi, karena teknik pemuatan samping akan tetap berjalan terlepas dari nama file yang dapat dieksekusi.

X-Force menyiapkan utilitas pengumpulan data untuk mengumpulkan metadata dari titik akhir dalam skala besar. Salah satu utilitas tersebut adalah SideLoadHunter, yang akan membuat profil titik akhir untuk DLL dan executable dalam profil pengguna, System32 dan SysWow64.

Karena file yang dapat dieksekusi rentan terhadap pemuatan samping pada sistem Windows, X-Force telah memigrasikan daftar pemuatan samping yang diketahui ke dalam konfigurasi Sysmon yang bertujuan untuk mencatat beban modul untuk executable dan DLL terkait.

Oleh karena itu dilakukan penelitian lebih lanjut untuk membuat daftar file executable dan DLL yang lebih mendalam yang menjadi target side-loading.

Peneliti merekomendasikan pengguna untuk memastikan bahwa semua aplikasi yang divalidasi dan bersih dipasang di direktori yang dilindungi administrator. Langkah ini membatasi izin menulis dan mengeksekusi ke folder pengguna dan mengimplementasikan akses dengan hak paling rendah.

Ikuti kami di Linkedin, Indonesia, Facebook untuk Berita & Pembaruan Cybersecurity harian

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.