Kalıcılık için DLL Hijacking tekniğini kullanan tehdit aktörleri günün gündeminde yer alıyor ve çeşitli saldırılarda kullanılıyor.
Bu saldırı yöntemi, etkilenen sistemde belirli kötü amaçlı kodların yürütülmesine yönelik ayrıcalık gereksiniminin atlanmasına olanak tanır.
Ancak, güvenilir WinSxS klasörünü kullanan ve geleneksel DLL Arama Sırası Ele Geçirme tekniğini kullanarak bu klasörden yararlanan, tehdit aktörleri tarafından kullanılan yeni bir DLL Ele Geçirme yöntemi keşfedildi. Bu yeni yöntem hem Windows 10 hem de 11 ile uyumludur.
DLL Kullanarak Windows Güvenliği
Security Joe’nun raporuna göre bu yaklaşım, DLL Arama Sırası Ele Geçirme yönteminin iyileştirilmesine ve basitleştirilmesine olanak tanıyor.
Bu davranış, Windows’un yerel davranışı ve geliştiricilere ve son kullanıcılara sunduğu işlevler nedeniyle mümkün olmuştur.
Kötü amaçlı kod, Windows WinSxS klasöründe bulunan güvenilir bir ikili dosyanın bellek alanında çalıştığından, bu yeni DLL ele geçirme yönteminin tespit edilme olasılığı düşüktür.
Kalıcılık için DLL Hijacking tekniğini kullanan tehdit aktörleri günün gündeminde yer alıyor ve çeşitli saldırılarda kullanılıyor.
Bu saldırı yöntemi, etkilenen sistemde belirli kötü amaçlı kodların yürütülmesine yönelik ayrıcalık gereksiniminin atlanmasına olanak tanır.
Ancak, güvenilir WinSxS klasörünü kullanan ve geleneksel DLL Arama Sırası Ele Geçirme tekniğini kullanarak bu klasörden yararlanan, tehdit aktörleri tarafından kullanılan yeni bir DLL Ele Geçirme yöntemi keşfedildi. Bu yeni yöntem hem Windows 10 hem de 11 ile uyumludur.
DLL Arama Sırasının Ele GeçirilmesiG
Cyber Security News ile paylaşılan raporlara göre bu yaklaşım, DLL Search Order Hijacking yönteminin iyileştirilmesine ve basitleştirilmesine olanak tanıyor.
Bu davranış, Windows’un yerel davranışı ve geliştiricilere ve son kullanıcılara sunduğu işlevler nedeniyle mümkün olmuştur.
Kötü amaçlı kod, Windows WinSxS klasöründe bulunan güvenilir bir ikili dosyanın bellek alanında çalıştığından, bu yeni DLL ele geçirme yönteminin tespit edilme olasılığı düşüktür.
Geleneksel DLL Arama Sırasını Ele Geçirme yöntemi, ihtiyaç duydukları dosyanın (EXE/DLL) tam yolunu belirtmeyen uygulamalardan yararlanır.
Geleneksel ve yeni DLL ele geçirme tekniği arasındaki tek fark, WinSxS klasörü içindeki dosyaların hedeflenmesidir. WinSxS klasöründe bulunan uygulama DLL’leri, kötü amaçlı amaçlarla kullanılabilecek yükseltilmiş ayrıcalıklara sahiptir.
WinSxS (Windows Yan Yana) klasörü öncelikle önemli sistem dosyalarının çeşitli sürümlerini yan yana depolamak için kullanılır; ayrıca C:\Windows\WinSxS konumunda bulunan Windows İşletim sisteminin bakımı ve kurtarılması için kritik bir bileşen olarak kullanılır.
Gizli sırrı açığa çıkarmak için, orijinal yararlanma süreci, belirlenen dizine meşru hedeflenen DLL’nin adına çok benzeyen özel bir kötü amaçlı DLL yerleştirmekti.
Ayrıca kavram kanıtı, kullanım ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
WinSxS klasöründeki Savunmasız Yürütülebilir Dosyaların Listesi
| İşlem adı | Yüklenen Kaynak |
| Conhost.exe | ClipUp.exe |
| Conhost.exe | ipconfig.exe |
| Conhost.exe | rota.exe |
| Conhost.exe | mcbuilder.exe |
| Forfiles.exe | cmd.exe |
| ıediagcmd.exe | ipconfig.exe |
| Stordiag.exe | Systeminfo.exe |
| Aspnet_wp.exe | webengine.dll |
| Aspnet_wp.exe | webengine4.dll |
| aspnet_regiis.exe | webengine4.dll |
| Aspnet_state.exe | webengine4.dll |
| Csc.exe | VCRUNTIME140_1_CLR0400.dll |
| Cvtres.exe | VCRUNTIME140_1_CLR0400.dll |
| Ilasm.exe | fusion.dll |
| Ilasm.exe | VCRUNTIME140_1_CLR0400.dll |
| Ntask.exe | mscorsvc.dll |
| Örneğin.exe | VCRUNTIME140_1_CLR0400.dll |
| NisSrv.exe | mpclient.dll |