Tarayıcı önbellek sömürüsü ve DLL proxying’i birleştiren yeni bir saldırı vektörü, Microsoft Teams ve OneDrive kullanan kuruluşlar için önemli bir tehdit olarak ortaya çıktı.
Dublajlı tarayıcı önbellek kaçakçılığı olan bu teknik, saldırganların, iyi huylu dosyalar olarak gizlenmiş kötü amaçlı yazılımları sunmak için tarayıcıların önbellekleme mekanizmalarından yararlanarak geleneksel güvenlik savunmalarını atlamalarını sağlar.
Modern tarayıcılar performansı artırmak için statik dosyaları önbelleğe alır (örneğin, görüntüler, javascript). Saldırganlar bunu, görüntüler gibi zararsız içerik olarak gizlenmiş bir web sayfasında kötü niyetli DLL dosyalarını barındırarak kullanırlar.
Bir kullanıcı siteyi ziyaret ettiğinde, tarayıcı DLL’yi önbelleğe alır ve manipüle edilmiş manipüle edilen meşru bir kaynak için yanıltırır Content-Type Başlıklar, turuncu Cyberdefense dedi.
Örneğin, gizli bir html sayfası gizli bir
Saldırganlar daha sonra, önbelleğe alınmış DLL’yi bulan ve Microsoft Teams ‘veya OneDrive’s gibi yüksek riskli bir dizine taşıyan bir PowerShell komutunu yürütmek için kurbanı sosyal olarak tasarlayın. localappdata klasörler.
DLL Proxying: Kaçınma Tespiti
Saldırganlar, uygulamaları çökertmek ve antivirüs yazılımını atlamak için DLL proxy kullanıyor. Ekipler gibi meşru uygulamalar, Windows DLL arama sırasını takip ederek kurulum dizinlerinden DLL’leri yükler. Bu dizinlere kötü niyetli bir DLL yerleştirerek, saldırganlar süreci ele geçirir.
Kötü amaçlı DLL vekilleri meşru işlev, kobalt grev işaretleri gibi yükleri yürütürken orijinal DLL’ye çağırır. Örneğin, bir dövme VERSION.dll Takımların dizinde:
- C2 bağlantısı oluşturmak için kötü amaçlı yazılımları yürütün.
- Gerçek Meşru API çağrılarını gerçek DLL’ye yönlendirin.
Bu ikili işlevsellik, uygulamanın normal çalışmasını sağlar ve şüpheyi azaltır.
Silahlandırıcı ekipler ve onedrive
Orange CyberDefense, Microsoft takımlarını ve onedrive’ı ideal hedefler olarak kullandı çünkü:
- Kullanıcı ayrıcalıklarıyla çalışırlar ve yönetici hakları olmadan DLL kaçırmaya izin verirler.
- Sık sık internet iletişimleri kötü niyetli trafiği maskeler.
Saldırganlar, tarayıcı önbelleğini aramak için bir PowerShell komut dosyası kullanır (örn. Firefox’s cache2/entries) kaçak DLL için ve takımların dizinine kopyalayın:
powershellforeach ($f in @("$env:LOCALAPPDATA\Mozilla\Firefox\Profiles\*.default-release\cache2\entries\")) {
gci $f -r | % {
if (Select-String -Pattern "PAYLOAD" -Path $_.FullName) {
cp $_.FullName "$env:LOCALAPPDATA\Microsoft\Teams\VERSION.dll"
}
}
}
Tarayıcı önbellek kaçakçılığı, meşru tarayıcı davranışlarından yararlanarak ağ tabanlı savunmaları atlarken, DLL proxying güvenilir işlemlerde kötü amaçlı yazılımları gizler. İşletmelerin% 78’i Microsoft 365’e dayanarak, bu teknik yaygın bir risk oluşturmaktadır.
Tarayıcılar ve işletmeler yavaş yavaş daha katı önbellek politikalarını benimsedikçe, kırmızı ekipler ve savunucular bu gelişen saldırı yüzeylerini anlamaya öncelik vermelidir.
İlk olarak Insomni’hack 2025’te vurgulanan teknik, güvenilir yazılımlardan yararlanan sosyal olarak tasarlanmış saldırılara karşı katmanlı savunma ihtiyacının altını çiziyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free