1. DLL INJECTIOIN
I)Định nghĩa
DLL(Dynamic Link Library) là một định dạng file có chứa nhiều mã và thủ tục cho ứng
dụng windows để nhiều chương trình có thể sử dụng thông tin cùng một lúc. Ưu điểm của
sự sắp xếp như vậy là nó có thể tiết kiệm bộ nhớ. Ngoài ra, người dùng có thể thay đổi
mã của nhiều ứng dụng cùng một lúc mà không phải thay đổi từng ứng dụng.
DLL injection là một quá trình chạy một code tùy chỉnh trong bộ nhớ của một DLL khác.
Vì nó liên quan đến việc chạy các code tùy chỉnh, nên thường được khai thác bởi các
chương trình bên ngoài để làm cho ứng dụng được nhắm mục tiêu hoạt động một cách
bất thường. Ví dụ, DLL injection có thể được sử dụng để tiêm mã độc hại để có thể gọi
vào các hàm của hệ thống hoặc đọc mật khẩu của hệ thống.
II)Phương thức hoạt động, phân tích nguy cơ
1. Phương thức hoạt động
a. Xử dụng hàm OpenProcess để xác định tiến trình cần inject
b. Lưu bộ nhớ trong quá trình
c. Sao chép DLL và DLL Path vào bộ nhớ quá trình và xác đinh địa chỉ bộ nhớ
thích hợp
d. Yêu cầu tiến trình thực thi file DLL
2. Phân tích nguy cơ
2. a. Được sử dụng bởi các malware: rootkit, Trojan để đánh cắp dữ liệu của người
dùng
b. Tạo Backdoor trên máy nạn nhân
c. Chiếm quyền Admin của máy nạn nhân
d. Tiêm mã độc hại để có thể gọi vào các hàm của hệ thống hoặc đọc mật khẩu của
hệ thống.
III)Phương pháp thực hiện
a. Dùng msfvenom để tạo fill dll
b. Sử dụng metasploit để lắng nghe kết nối trả về
c. Gửi file dll được tạo sang cho máy nạn nhân
4. e. Qua máy kali để xem kết quả
Kết nối thành công , có một session trả về
IV)Đề xuất cách phòng chống
a. Sử dụng phần mềm antivirus
b. Sử dụng các phần mềm có thể hook LoadLibrary, từ đó kiểm tra các DLL được
gọi và set giá trị NULL cho các DLL khả nghi để ngăn chặn.
c. Hạn chế cấp quyền cho các tiến trình khả nghi
V)Yêu cầu thêm
- Nâng quyền User thành quyền admin.
Sử dụng bypass UAC của metesploit để thực hiện yêu cầu này.
Link video thực hiện: https://drive.google.com/file/d/163sM3gThZ9J2XLVWA--
Hisswnxu-WwbQ/view?usp=sharing