Microsoft’un OneDrive uygulamasından DLL yan yükleme yoluyla yararlanan, tehdit aktörlerinin algılama mekanizmalarından kaçarken kötü amaçlı kod yürütmesine olanak tanıyan gelişmiş bir saldırı tekniği.
Saldırı, meşru Windows işlemlerini ele geçirmek ve güvenliği ihlal edilmiş sistemlerde kalıcılığı korumak için silah haline getirilmiş version.dll dosyasından yararlanıyor.
DLL yandan yükleme, yasal uygulamaları orijinal olanlar yerine kötü amaçlı Dinamik Bağlantı Kitaplıkları yüklemeye yönlendirerek Windows’un kitaplık yükleme mekanizmasından yararlanır.
DLL Sideloading Saldırısını Anlamak
Kas-sec güvenlik tavsiyesine göre saldırganlar, uygulamanın bağımlılık arama sırasından yararlanarak hazırlanmış bir version.dll dosyasını OneDrive.exe ile aynı dizine yerleştiriyor.
OneDrive.exe başlatıldığında, sistem dizinlerini aramadan önce kötü amaçlı DLL dosyasını otomatik olarak yerel dizininden yükler.
Bu teknik özellikle version.dll dosyasını hedef alır çünkü OneDrive da dahil olmak üzere pek çok Windows uygulaması dosya sürümü bilgilerini almak için bu kitaplığa güvenir.
Saldırganlar, kötü amaçlı DLL’yi stratejik olarak konumlandırarak, dijital olarak imzalanmış bir Microsoft uygulamasının güvenilir bağlamı altında kod yürütebilir ve şüpheli süreçleri izleyen güvenlik kontrollerini etkili bir şekilde atlayabilir. Saldırganlar gizliliği korumak ve uygulama çökmelerini önlemek için DLL proxy tekniklerini uygular.
Kötü amaçlı version.dll, meşru kitaplıkla aynı işlevleri dışarı aktarır ve arka planda kötü amaçlı işlemler yürütürken meşru işlev çağrılarını orijinal Windows System32 version.dll dosyasına iletir.
Bu ikili işlevsellik, OneDrive.exe’nin normal şekilde çalışmaya devam etmesini sağlayarak kullanıcılar veya güvenlik yazılımı tarafından tespit edilme olasılığını azaltır.
Uyarı belgesinde, saldırının, Vektörlü İstisna İşleme’den ve PAGE_GUARD bellek koruma bayrağından yararlanan gelişmiş bir kancalama tekniği kullandığı belirtiliyor.
Güvenlik araçlarının kolayca algıladığı geleneksel satır içi kancalama yöntemleri yerine bu yaklaşım, API çağrılarını engellemek için kasıtlı olarak bellek istisnalarını tetikler.
OneDrive.exe, CreateWindowExW gibi belirli işlevleri çağırmayı denediğinde, kötü amaçlı kod, istisna işleyicileri aracılığıyla yürütme akışını yakalar ve onu saldırgan tarafından kontrol edilen işlevlere yönlendirir.
Bu yöntemin özellikle etkili olduğu kanıtlanmıştır çünkü imza tabanlı algılama sistemlerinin tipik olarak tanımladığı kalıcı kod değişikliklerinden kaçınır.
Kanca, tek adımlı istisnalar kullanarak her müdahaleden sonra kendisini yeniden silahlandırır ve hedeflenen API işlevleri üzerinde sürekli kontrolü korur.
Kötü amaçlı DLL yüklendikten sonra, uygulamanın başlatma sürecini engellemeden rastgele yükleri yürütmek için ayrı bir iş parçacığı oluşturur.
Konsept kanıtı, pencereleri görünümden gizleyerek ek süreçleri başlatır ve güvenliği ihlal edilmiş sistemlerde gizli operasyonlara olanak tanır.
Güvenlik profesyonelleri, güvenilir uygulamaları hedef alan bu karmaşık yandan yükleme saldırılarına karşı savunma yapmak için uygulama beyaz listesi oluşturmayı uygulamalı, DLL yükleme davranışlarını izlemeli ve yüklenen kitaplıkların dijital imzalarını doğrulamalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
