安全研究人员详细说明了动态链接库 (DLL) 搜索排序劫持技术的新变体，它可用于绕过运行微软 Windows 10和Windows 11 的系统的安全机制并执行恶意代码。

网络安全公司 Security Joes 在报告中提到，这种方法“利用通常在可信 WinSxS 文件夹中找到的可执行文件，通过典型的 DLL 搜索排序劫持技术利用它们”。为此，它可导致竞争对手在受陷机器上运行恶意代码时清除提升权限的需要，同时将潜在的易受攻击的二进制引入攻击链。

DLL 搜索顺序劫持涉及利用用于加载 DLLs 的搜索顺序执行恶意 payload，以躲避防御、维持持久性和提升权限。具体而言，攻击者利用该技术选出并未指定所要求库的完整路径，而是依赖预定义的搜索顺序定位磁盘上必要的 DLLs。

威胁行动者利用这一行为的方法是将合法系统二进制迁移到非标准目录中，而这些非标准目录包含的恶意 DLLs 名称与合法目录一样，因此会选择包含攻击代码的库。而这样做是奏效的，因为调用DLL的进程将在以特定顺序递归遍历其它位置以定位和加载资源之前，从所执行的目录中进行搜索。换句话说，搜索顺序如下：

1、启动应用的目录

2、文件夹 "C:\Windows\System32"

3、文件夹 "C:\Windows\System"

4、文件夹 "C:\Windows\System"

5、当前工作目录

6、在系统 PATH 环境变量中所列的目录

7、在用户 PATH 环境变量中所列的目录

研究人员针对的是可信文件夹 "C:\Windows\WinSxS" 中的文件。WinSxS 的简称是 “Windows side-by-side”，它是用于自定义和更新操作系统以保证兼容性和完整性的关键 Windows 组件。

Security Joes 公司的联合创始人兼首席执行官 Ido Naor 指出，“这种方式是网络安全界的一种新型应用：从传统上来讲，攻击者主要依赖于有名的技术如 DLL 搜索顺序劫持，这种方法操纵着 Windows 应用加载外部库和可执行文件的方式。我们的方式与这一路径不同，展现的是更加细微和隐秘的利用方法。”

简言之，其中的理念是在 WinSxS 文件夹中找到易受攻击的二进制并组合 DLL 搜索顺序劫持的方法，即策略性地将与合法 DLL 具有相同名称的自定义 DLL 放到受攻击者控制的目录中，实现代码执行后果。因此，只需将包含恶意 DLL 的自定义文件夹设置为当前目录，执行WinSxS 文件夹中的易受攻击的文件，就能够在无需将 WinSxS 文件夹中的可执行文件复制，就能触发 DLL 的内容执行。

研究人员提醒称，WinSxS 文件夹中可能还包含易受这种 DLL 搜索顺序劫持攻击的其它二进制，说明组织机构有必要采取适当防御措施缓解环境中的利用方法。

研究人员表示，“审计进程之间的父子关系，尤其是可信二进制。密切监控WinSxS 文件夹中二进制执行的所有活动，要同时关注网络通信和文件操作。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~