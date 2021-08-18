X-Force Red a récemment publié un outil appelé Chasseur de fonctionnalité Windows, qui identifie les cibles à charger latéralement par des bibliothèques de liens dynamiques (DLL) sur un système Windows à l'aide de Frida. Afin de fournir une perspective de contre-mesure défensive contre le chargement latéral de DLL, X-Force Incident Response a publié SideLoaderHunter, qui est un script de profilage système et une configuration Sysmon conçus pour identifier les preuves de chargement latéral sur les systèmes Windows. Cet article explique pourquoi IBM X-Force pense que cet outil est nécessaire, décrit ses fonctions et analyse quelques cas d’utilisation.
Dans Microsoft Windows, les programmes peuvent définir quelles bibliothèques sont chargées au moment de l'exécution en indiquant un chemin complet ou en utilisant un autre mécanisme tel qu'un manifeste. Un manifeste de programme est un fichier externe ou une ressource intégrée dans une application utilisée pour gérer les noms et les versions des assemblages partagés côte à côte que l'application doit charger lors de l'exécution. Un manifest de programme peut inclure des redirections DLL, des noms de fichiers ou des chemins complets. Si un manifeste fait référence uniquement à un nom de fichier de bibliothèque, il est considéré comme une référence faible et est vulnérable à une attaque par chargement latéral DLL.
Si une référence faible est faite à une bibliothèque, Windows tente de localiser le DLL via un ordre de recherche prédéfini. Le premier emplacement recherché par Windows est le répertoire à partir duquel l'application a été chargée.
Une attaque par chargement latéral DLL est une technique adverse qui vise à tirer parti de références de bibliothèque faibles et de l’ordre de recherche Windows par défaut en plaçant un fichier DLL malveillant se faisant passer pour une DLL légitime sur un système, qui sera automatiquement chargé par un programme légitime.
Pour plus d'informations sur le chargement latéral des DLL, reportez-vous au document MITRE ATT& CK Technique T1574.002.
Le chargement latéral de DLL n'est pas une technique nouvelle, puisque la vulnérabilité du détournement de l'ordre de recherche dans Windows existe depuis Windows XP. X-Force a observé le chargement latéral de DLL utilisé par le cheval de Troie bancaire Metamorfo, qui supprime des fichiers MSI malveillants qui extraient un binaire signé et une DLL malveillante pour exécuter un chargeur de logiciels malveillants de deuxième étape. En raison de l'ordre de recherche par défaut intégré dans Windows, le binaire signé chargera la DLL malveillante et Continuer le flux d'exécution malveillant.
Bien que ce ne soit pas la technique la plus couramment utilisée par les acteurs de la menace, le chargement latéral de DLL est de plus en plus utilisé par les opérateurs de ransomware, qui tirent parti de cette technique pour exécuter la charge utile du ransomware et échapper ainsi à la détection par les produits de sécurité.
Par exemple, l'opérateur de ransomware REvil a tiré parti de une vulnérabilité de chargement latéral de DLL dans un exécutable Windows Defender (MsMpEng.exe) pour charger une DLL malveillante nommée mpsvc.dll contenant la charge utile du ransomware.
X-Force n’a pas observé de nombreux acteurs de la menace ou logiciels malveillants écrasant des binaires ou modules existants sur un système pour exécuter une attaque de chargement latéral DLL, car cela pourrait provoquer un plantage ou créer des erreurs pouvant entraîner une détection.
Au lieu de cela, les acteurs de la menace ou les logiciels malveillants qui ont tiré parti de la technique de chargement latéral de DLL s'appuient généralement sur deux comportements avant d'exécuter une attaque :
Le premier cas d'utilisation est une méthodologie de détection assez simple. Bien que le binaire puisse être signé, son exécution serait toujours considérée comme une anomalie dans un jeu de données d'exécution de programme. Dans l’exemple de Metamorfo mentionné précédemment, le logiciel malveillant a implanté la fonctionnalité de vidage mémoire d’Avast AVDump32.exe, renommé en jesus.exe, qui a chargé latéralement une DLL malveillante nommée dbghelp.dll.
Dans cet exemple, l'identification de jesus.exe a été réalisée en analysant la fréquence des noms de fichiers enregistrés dans un jeu de données d'exécution de programme.
Figure 1 : Analyse de fréquence du nom binaire dans le jeu de données d'exécution de programmes
Le deuxième cas d’utilisation peut être plus difficile à détecter car il tire parti de applications Windows standard et fiables pour exécuter la DLL malveillante, ce qui permet à l’activité malveillante de se fondre dans les données d’exécution de programmes non malveillants. L'analyse fréquentielle du chemin complet du binaire dans un jeu de données d'exécution de programme offre des possibilités de détection, mais sans aucun filtrage, cette analyse est bien trop inefficace.
Au lieu de cela, le jeu de données d'exécution du programme peut être filtré pour n'inclure que les noms d'exécutables qui résident par défaut dans System32 ou SysWow64. Dans ce cas, l’analyse serait effectuée sur toutes les données d’exécution du programme associées aux exécutables System32 ou SysWow64 lorsque le chemin complet du binaire ne correspond pas au défaut.
Pour effectuer cette analyse, créez une table de recherche des exécutables par défaut System32 et SysWow64 provenant des systèmes Windows, qui servira de jeu de données de contrôle, contre lequel les défenseurs pourront identifier des anomalies.
Le script PowerShell suivant énumérera les exécutables dans System32 et SysWow64 et exportera les résultats dans un fichier CSV.
L'utilisation de sysbins.csv comme groupe de contrôle permet d'identifier l'exécution des programmes et fournit des preuves de l'existence d'applications Windows en dehors de leurs répertoires par défaut System32 ou SysWow64.
|$SysBinList = Get-ChildItem $env :SystemRoot\system32\
,$env :SystemRoot\syswow64\ -Récurse -ErrorAction SilentlyContinue | Où-Objet
{($_.Extension -like “.exe”)} -ErrorAction SilentlyContinue | Sélectionnez le nom ;$SysBinLobj
= $SysBinList.Name | select -Unique | Select-Object @{Name=’Name’;
Expression={$_}};$SysBinLobj | export-csv sysbins.csv -NoTypeInformation
Figure 2 : Analyse de fréquence du chemin complet des fichiers binaires System32
Il est important de noter que les acteurs de la menace peuvent échapper à la détection utilisant la correspondance des noms de fichiers en renommant l'exécutable binaire, car la technique de chargement latéral restera viable quel que soit le nom de l'exécutable.
Figure 3 : Chargement latéral du fichier mspaint.exe (renommé notmspaint.exe) avec msftedit.dll
Une façon de détecter les exécutables renommés est de profiler davantage les valeurs de hachage des exécutables System32 et SysWow64 sur les machines Windows ou de collecter le nom interne des fichiers exécutables des systèmes cibles. Certaines solutions de surveillance de l’exécution de processus comme Sysmon capturent le nom interne d’un exécutable lors de son exécution. De plus, PowerShell a la capacité d'énumérer le nom de fichier d'origine d'un exécutable une fois que celui-ci a été renommé.
Figure 4 : Listage de l’attribut du nom de fichier original dans PowerShell
Le script suivant énumérera une liste de hachages exécutables dans les répertoires System32 et SysWow64, qui peuvent également être utilisés comme jeu de données de contrôle pour identifier les exécutables Windows standards dans des emplacements non standards.
$binarray=@()$SysBinList = Obtenir-EnfantObjet $env :SystemRoot\system32\,$env :SystemRoot
pour chaque ($bin dans $SysBinList)
{
$binhash = Get-FileHash $bin.FullName -Algorithme SHA1
$binobject = New-Object psobject
$binobject | Ajouter un membre -MemberType NotePropriété -Nom « Nom » -Valeur $bin. Nom
$binobject | Add-Member -MemberType NoteProperty -Name « Hash » -Value $binhash. Hachis
$binarray += $binobject
}
$binarray | export-csv sysbinhash.csv -NoTypeInformation
Figure 5 : Script PowerShell pour collecter les hachages de fichiers
Toutefois, les détections susmentionnées sont plus efficaces lorsqu'il existe des données centralisées sur l'exécution des processus et qu'il est possible d'établir des lignes de base de l'activité au fil du temps dans un environnement. C'est très rare au cours d'une enquête.
Pour surmonter ce défi, X-Force déploie des fonctionnalités de collecte de données afin de recueillir des métadonnées à partir de points de terminaison à l’échelle. L'une de ces fonctionnalités est SideLoadHunter, qui établit le profil du point de terminaison des DLL et des exécutables dans les profils d'utilisateur, System32 et SysWow64. Une fois que les exécutables et les DLL ont été profilés, X-Force effectue une analyse comparative afin d'identifier d'éventuelles preuves de chargement latéral de DLL par le biais des noms de fichiers, des valeurs de hachage et des noms internes. En outre, les artefacts de l'exécution du programme sont analysés pour détecter les exécutables chargés latéralement qui n'existent plus sur le disque. Cet outil a été porté sur PowerShell et est disponible en téléchargement ici.
Les principales fonctions de SideLoadHunter sont :
Figure 6 : Exécution de Side-Loadhunter.ps1
En continuant la recherche sur les fichiers exécutables vulnérables au side-loading sur les systèmes Windows, X-Force a identifié une liste de noms d'exécutables et de DLL associés qui peuvent être side-loadés.
Une liste complète des cibles à chargement latéral est disponible ici.
Pour faciliter la détection en temps réel de ces cibles de chargement latéral, X-Force a migré la liste de chargement latéral connue vers une configuration Sysmon destinée à enregistrer les charges de modules pour les exécutables et DLL associés.
La configuration Sysmon est disponible ici.
Figure 7 : Événement Sysmon provenant de Side-Loadhunter.xml
Si les logiciels malveillants et les adversaires ciblent généralement les exécutables situés dans les répertoires System32 et SysWow64 pour le chargement latéral, la possibilité de charger latéralement une DLL dans un exécutable ne se limite pas à ces répertoires. Par exemple, grâce à des efforts collaboratifs entre X-Force Incident Response et X-Force Red, le OneDriveStandaloneUpdater.exe exécutable, qui existe par défaut dans %userprofile %\appdata\local\Microsoft\OneDrive sur les systèmes Windows 10, peut être installé en sideload via WofUtil.dll, qui réside par défaut dans %windir %\system32\.
Figure 8 : Chargement latéral de OneDriveStandaloneUpdater.exe avec WofUtil.dll
X-Force poursuit actuellement ses recherches afin de créer une liste plus exhaustive de fichiers exécutables et DLL susceptibles d'être chargés latéralement. Restez à l'affût des prochaines mises à jour.