Общие модули

Злоумышленники могут выполнять вредоносные полезные нагрузки путем загрузки общих модулей. Общие модули — это исполняемые файлы, которые загружаются в процессы для обеспечения доступа к повторно используемому коду, такому как специфические пользовательские функции или вызов функций API ОС (т.е. Нативный API). Злоумышленники могут использовать эту функциональность как способ выполнения произвольных полезных нагрузок в системе жертвы. Например, злоумышленники могут модулировать функциональность своего вредоносного ПО в общие объекты, которые выполняют различные функции, такие как управление сетевыми коммуникациями C2 или выполнение конкретных действий по достижению цели. Загрузчик модулей Linux и macOS может загружать и выполнять общие объекты из произвольных локальных путей. Эта функциональность находится в `dlfcn.h` в функциях, таких как `dlopen` и `dlsym`. Хотя macOS может выполнять файлы `.so`, обычная практика использует файлы `.dylib`. Загрузчик модулей Windows может быть проинструктирован загружать DLL из произвольных локальных путей и произвольных сетевых путей Universal Naming Convention (UNC). Эта функциональность находится в `NTDLL.dll` и является частью Windows Нативный API, который вызывается из функций, таких как `LoadLibrary` во время выполнения.