DEFCON议题解读|Dll劫持新思路——修改环境变量

news2024/12/26 6:21:31

简介

在2022年的Defcon大会上,安全研究人员Wietze
Beukema通过对进程级环境变量的研究,提出了一种Dll劫持新思路,下面就其中涉及的技术点展开介绍。

**01 **环境变量

每一个进程都有一个环境块,其中包含一组环境变量及其值。有两种类型的环境变量,用户环境变量和系统环境变量。

用户环境变量 :仅对当前用户有效,位于:HKEY_CURRENT_USER\Environment

1662625790_6319a7fec0bf7a2ef0d51.png!small?1662625791600

系统环境变量
:对所有用户均有效,位于:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session
Manager\Environment

1662625797_6319a80587c059c04f8c9.png!small?1662625798165

默认情况下,子进程继承其父进程的环境变量。命令处理器启动的程序继承命令处理器的环境变量。

**02 **劫持原因

程序可能会依赖Windows定义好的环境变量来确定某些文件的位置,尤其对于Windows内置程序来说大量依赖环境变量来寻找系统盘文件。如下展示的是Windows系统盘ws2_32.dll中的代码片段:

1662625834_6319a82a574b57e0b0741.png!small?1662625834920

正常来说"%SystemRoot%/System32/mswsock.dll"会被解析为"C:/Windows/System32/mswsock.dll",但是这里面有一个不确定的因素就是"%SystemRoot%“,假设我们修改了环境变量”%SystemRoot%"的值为其他文件夹路径且在该路径下存放恶意Dll,那么程序就会加载我们设定的Dll,继而完成Dll劫持。

如果直接更改"%SystemRoot%“的值,会对整个操作系统上运行的程序产生影响,但是我们可以只修改指定进程的环境变量,如创建以下vbs脚本,利用子进程默认继承其父进程环境变量的特性,修改Windows内置进程hostname.exe的环境变量"SystemRoot"为"C:\Evil”。

Set shell = WScript.CreateObject("WScript.Shell")  
shell.Environment("Process")("SystemRoot") = "C:\Evil"  
shell.Exec("C:\windows\system32\hostname.exe")

操作流程如下:

1662625847_6319a8378e4d9fb532a36.png!small?1662625847911

然后用Procmon监控hostname.exe,可以看到确实会加载"C:\Evil"路径下的Dll。

1662625857_6319a841632caa56059f7.png!small?1662625857868

**03 **持久化

从上面流程可以看到,能够完成Dll劫持的关键在于修改环境变量的值,那么完成持久化的关键就在于维持目标进程环境变量值的修改。下面提供2种持久化方案:

利用注册表修改Windows自启服务的环境变量

这里先引用下Wietze Beukema文章中提到的修改Windows打印机服务的环境变量,看是否会成功加载指定目录下的Dll文件。

1. 首先将恶意Dll"mswsock.dll"放到指定目录"C:\Evil\System32"

2. 在注册表spoolsv服务下创建"Environment"键值修改环境变量

1662625877_6319a855e9278c3bb2691.png!small?1662625878526

3. 重启spoolsv服务,用Procmon进行监控

1662625897_6319a86930dfd5581a228.png!small?1662625897634

可以看到使用上述方式修改Windows服务的环境变量确实能够加载我们指定目录下的Dll文件。但是需要注意的是,有时候为了保证被修改的服务能够正常运行,我们需要将受环境变量影响的Dll全部移动到我们指定的路径下。

实际上能够被利用的Windows服务远不止上面一个,通常来说服务对应一个PE文件,这里我们去看看Windows自带服务的PE文件路径是如何写的就明白了。

1662625926_6319a886761e07e86d49d.png!small?16626259269521662625931_6319a88b961c8b35426ac.png!small?1662625932124

可以看到很多服务都依赖环境变量来寻找所对应的PE文件,这里我推荐修改的Windows自启服务是Windows推送通知系统服务(WpnService),修改环境变量后只需移动一个受影响的Dll文件即可,不用管该服务是否能够正常运行。

常规持久化配合创建子进程

我们也可以使用常规持久化方案如创建计划任务或者写注册表来实现自启,然后程序自启后自修改自身环境变量值,最后创建受环境变量影响的Windows可信进程,利用Dll劫持来完成一次隐匿攻击行为。

接下来使用Win32 API来展示下如何修改子进程的环境变量。

1. 子进程Child.exe代码如下:

#include <windows.h>  
int main(int argc, char* argv[], char* envp[]) {  
char szBuf[MAX_PATH] = {};  
GetEnvironmentVariable("SystemRoot", szBuf, sizeof(szBuf));  
MessageBox(NULL, szBuf, "Child", MB_OK);  
return 0;  
}
  1. 父进程Parent.exe代码如下:

    #include <stdio.h>
    #include <windows.h>
    int main(int argc, char* argv[], char* envp[]) {
    SetEnvironmentVariable(“SystemRoot”, “C:\Evil”);
    UINT nRet = WinExec(“C:/Users/Super/Desktop/Child.exe”, SW_HIDE);
    if (nRet > 31)
    {
    printf(“创建子进程成功\n”);
    }
    else
    {
    printf(“创建子进程失败\n”);
    }
    return 0;
    }

3. 运行Parent.exe进程,查看结果

1662625959_6319a8a71aadde817a704.png!small?1662625959622

以上需要注意一点的就是,当Child.exe进程需要的权限比Parent.exe进程高时,Parent.exe创建Child.exe进程时会失败,当然也就无法谈起修改其环境变量值了,如下:

1662625972_6319a8b46540c874720cf.png!small?1662625973041

**04 **预防和影响范围

环境变量是Windows的一个历史包袱,随着Windows注册表出现,可以在一定程度上代替环境变量。但是为了考虑兼容性,它依然存在且在Windows内部大量使用。关于这点,我们可以对程序进行简单的调试,对ExpandEnvironmentStringsW
API函数下断回溯,就会发现很多Windows内置Dll在使用环境变量来确定某些文件,如下:

1662626005_6319a8d5ee22a2f82e892.png!small?1662626006776

我们自己写的程序或者模块可能会引用Windows系统Dll文件,但是Windows内部Dll文件大量引用环境变量,这会让我们的程序可能会受到此类Dll劫持手法的攻击。为了尽可能的减少风险,在编码时我们可以遵循以下规则:

1.
程序代码使用GetWindowsDirectory代替环境变量"%SystemRoot%",或者使用GetSystemDirectory直接拿系统盘System32路径

2. 对系统Dll进行路径检测

3. 对程序加载的Dll进行签名校验

**05 **总结

1.
相对于传统Dll劫持利用Windows加载Dll时的搜索顺序,将恶意Dll存放在目标程序所在文件夹之下来完成Dll劫持。该方式可以保持目标程序所在文件夹的纯净度,可有效规避检测。

2. "海量"的Windows服务和内置进程均受环境变量的影响,这值得引起我们安全研究人员对环境变量的重视,以应对后面可能出现的此类攻击手法。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/192905.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

RabbitMQ的消息模型

文章目录1、简单队列2、work 模式3、发布/订阅模式4、路由模式FanoutDirect5、主题模式6.工作模式总结7、四种交换器RabbitMQ官方提供了5个不同的Demo示例&#xff0c;对应了不同的消息模型&#xff1a; 1、简单队列 一个生产者对应一个消费者&#xff01;&#xff01; publi…

Linux shell 命令行环境下使用阿里云盘

阿里云盘在内测的时候我就在使用&#xff0c;整体体验相当的好&#xff0c;最起码不会限速&#xff0c;比起下载速度只有十几 KB 的某垃圾云盘要强太多了。 当然除了使用各系统的客户端进行下载之外&#xff0c;我还想要在命令行进行操作&#xff0c;主要原因也是我有一台 NAS…

AcWing 487. 金明的预算方案(有依赖的背包问题 + 分组背包问题)

AcWing 487. 金明的预算方案一、问题二、分析三、代码一、问题 二、分析 这道题属于一个背包问题&#xff0c;但是这道题中有一个很神奇的条件。就是我们想要购买某个物品的附件的话&#xff0c;前提是我们要购买这个物品的主件。 因此&#xff0c;我们可以将这道题画成下面这…

Java高手速成 | EL表达式语言

本文主要讲解EL表达式语言的作用、基本语法以及运算符。 01、EL的作用 当需要在JSP页面显示变量以及JavaBean对象时&#xff0c;可以使用JSP的表达式&#xff0c;如<%变量%>的形式&#xff0c;也可以直接使用如<%out.println(变量)%>的Java输出语句。尤其当JSP页…

C语言学习笔记-循环

有的时候&#xff0c;我们可能需要多次执行同一块代码。一般情况下&#xff0c;语句是按顺序执行的&#xff1a;函数中的第一个语句先执行&#xff0c;接着是第二个语句&#xff0c;依此类推。 编程语言提供了更为复杂执行路径的多种控制结构。 循环语句允许我们多次执行一个…

硬核工厂!钢厂远程监管,三维组态监控 HMI

钢铁行业作为我国的支柱产业&#xff0c;也是我国能源消耗的重点行业之一&#xff0c;随着国家节能减排政策的推进&#xff0c;有效实施能源管控是企业提高能源绩效、降低能源成本和提高核心竞争力的重要途径。通过对钢铁企业能耗现状和能源管理模式的分析可以得知&#xff0c;…

GitHub中如何创建自己的存储库?(图文详解)

前言 &#x1f4dc; “ 作者 久绊A ” 专注记录自己所整理的Java、web、sql等&#xff0c;IT技术干货、学习经验、面试资料、刷题记录&#xff0c;以及遇到的问题和解决方案&#xff0c;记录自己成长的点滴 目录 一、创建自己的存储库&#xff1f; 二、详细介绍 1、Reposito…

微前端——一个属于前端的时代

关于微前端为什么需要微前端&#xff1f;What&#xff1f;什么是微前端Why&#xff1f;为什么去使用微前端How&#xff1f;怎样落地微前端Where&#xff1f;在什么场景下使用微前端CSS 隔离方案JavaScript 沙箱机制快照沙箱Proxy 代理沙箱legacySandbox(单例沙箱)proxySandbox(…

云原生丨手把手教你搭建自己的第一个微服务

文章目录前言一、环境准备软件要求配置操作二、拉取框架三、模块搭建SDK模块SDK-Cloud 模块common模块API模块前言 我们知道&#xff0c;微服务架构是把项目里的每一个功能元素独立出来&#xff0c;再对这些功能元素进行动态组合。这样的优点在于&#xff1a;节省调用资源&…

基于Springboot搭建java项目(三十一)—— 什么是Docker

什么是Docker 一、容器技术 1、应用程序的部署问题 ​ 还原应用程序部署的场景&#xff0c;开发在开发应用的时候&#xff0c;要自己搭建一套环境&#xff0c;进行本地调试&#xff0c;这时就需要在本地搭建一套JVM&#xff0c;NODE&#xff0c;NGNIX等一些应用程序运行的环…

【大唐杯备考】——5G系统勘察设计(学习笔记)

&#x1f4d6; 前言&#xff1a;本期介绍5G系统勘察设计。 目录&#x1f552; 1. 概述&#x1f558; 1.1 5G网络预规划&#x1f564; 1.1.1 5G建网需求确认&#x1f564; 1.1.2 4G现网评估&#x1f564; 1.1.3 站点规模估算&#x1f564; 1.1.4 5G仿真评估&#x1f558; 1.2 5G…

新年首捷 | 全息网御入选《CCSIP 2022中国网络安全产业全景图(第五版)》

2023年2月1日&#xff0c;FreeBuf咨询正式发布 《CCSIP&#xff08;China Cyber Security Panorama&#xff09;2022 中国网络安全行业全景册&#xff08;第五版&#xff09;》&#xff0c;旨在帮助企业更好地了解中国网络安全技术与市场的发展趋势&#xff0c;并为企业安全建设…

Python接口测试实战5(下) - RESTful、Web Service及Mock Server

本节内容REST及RESTful APIWeb ServiceXML解析Mock ServerREST及RESTful APIREST&#xff1a;表述性状态转移或表现层状态转移&#xff0c;“表现”及每个接口地址(URI)都表现为&#xff08;视为&#xff09;一个资源对象&#xff08;文本资源、图片资源、服务资源&#xff09;…

请问软件设计师、网络工程师、软件评测师还是系统集成项目管理师,哪个好考?

软件设计师、网络工程师、软件评测师还是系统集成项目管理师&#xff1f;这些都是属于软考中级科目&#xff0c;看自己是想从事哪个方向咯。都可以备考啊&#xff0c;毕竟含金量都差不多的&#xff01; 因为自己备考的是网工&#xff0c;就说说网工的备考如何吧 一、中级网络…

Quest Pro降价和Vive XR Elite之我见

本来没打算写Vive XR Elite&#xff0c;作为HTC首个支持VST透视的VR头显&#xff0c;它也引起了业内关注&#xff0c;尤其是去年10月份Meta Quest Pro重磅发布之后&#xff0c;大家就会看到&#xff0c;领域内的玩家都在朝着VST发力。那为什么现在来写Vive XR Elite呢&#xff…

即时通讯开发之TCP/IP中的TCP 协议概述

终于看到了 TCP 协议,这是 TCP/IP 详解里面最重要也是最精彩的部分,要花大力气来读。前面的 TFTP 和 BOOTP 都是一些简单的协议,就不写笔记了,写起来也没啥东西。 TCP 和 UDP 处在同一层---运输层,但是 TCP 和 UDP 最不同的地方是,TCP 提供了一种可靠的数据传输服务,TCP 是面向…

从零开始手写基于Web Components组件

前言 本文将详细讲解如何用最基本的typescript&#xff0c;vite&#xff0c;less构建基于Web Components的组件&#xff0c;目前已实现Button&#xff0c;Icon&#xff0c;Image&#xff0c;Tabs&#xff0c;Input&#xff0c;Message组件。首先介绍项目的整体架构&#xff0c…

新C++(6):继承那些事儿

"你在酒杯还未干的时间里&#xff0c;收藏这份情谊"一、回顾继承什么是继承&#xff1f;继承是面向对象编程语言的三大特征之一。通过继承机制&#xff0c;面向对象的程序设计可以很大限度地对代码进行复用。它允许程序员在保持原有类特性的基础上进行扩展&#xff0…

scrapy_redis概念作用和流程

scrapy_redis概念作用和流程 学习目标 了解 分布式的概念及特点了解 scarpy_redis的概念了解 scrapy_redis的作用了解 scrapy_redis的工作流程 在前面scrapy框架中我们已经能够使用框架实现爬虫爬取网站数据,如果当前网站的数据比较庞大, 我们就需要使用分布式来更快的爬取数…

制药行业中各种化合物的净化,大孔吸附净化氨基酸

基于吸附功能的聚苯乙烯特种树脂 Tulsimer ADS-600 是一款没有离子官能基的&#xff0c;由交联聚苯乙烯合成的功能强大的吸附型树脂。 Tulsimer ADS-600 主要应用于水溶液中吸附酚及其化合物&#xff0c;氯代烃等含氯物质&#xff0c;表面活性剂&#xff0c;氨基酸&#…