V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1574.001EnterpriseПодтехника
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

DLL

Злоумышленники могут злоупотреблять файлами библиотек динамической компоновки (DLL) для достижения закрепления, повышения привилегий и уклонения от защиты. DLL — это библиотеки, содержащие код и данные, которые могут одновременно использоваться несколькими программами. Хотя DLL по своей природе не являются вредоносными, ими можно злоупотреблять с помощью таких механизмов, как побочная загрузка, перехват порядка поиска и перехват фантомных DLL. Конкретные способы злоупотребления DLL злоумышленниками включают: ### Побочная загрузка DLL Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки путем побочной загрузки DLL. Побочная загрузка включает перехват того, какую DLL загружает программа, путем размещения, а затем вызова законного приложения, которое выполняет их полезные нагрузки. Побочная загрузка размещает как приложение жертвы, так и вредоносные полезные нагрузки рядом друг с другом. Злоумышленники, вероятно, используют побочную загрузку как средство маскировки действий, которые они выполняют под законным, доверенным и потенциально повышенным системным или программным процессом. Безобидные исполняемые файлы, используемые для побочной загрузки полезных нагрузок, могут не быть помечены во время доставки и/или выполнения. Полезные нагрузки злоумышленника также могут быть зашифрованы/упакованы или иным образом обфусцированы до загрузки в память доверенного процесса. Злоумышленники также могут выполнять побочную загрузку других пакетов, таких как BPL (библиотека пакетов Borland). Злоумышленники могут связывать побочную загрузку DLL несколько раз, чтобы фрагментировать функциональность, затрудняя анализ. Злоумышленники, использующие несколько файлов DLL, могут разделить функции загрузчика по разным DLL, при этом основная DLL загружает отдельные экспортируемые функции. Распределение функций загрузчика по нескольким DLL усложняет анализ, поскольку для полного понимания поведения вредоносного ПО необходимо собрать все файлы. Другой метод реализует "загрузчик для загрузчика", где единственная роль вредоносной DLL — загрузить вторую DLL (или цепочку DLL), которые содержат реальную полезную нагрузку. ### Перехват порядка поиска DLL Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая порядок поиска, который Windows использует для загрузки DLL. Этот порядок поиска представляет собой последовательность специальных и стандартных мест поиска, которые программа проверяет при загрузке DLL. Злоумышленник может разместить троянскую DLL в каталоге, который будет иметь приоритет в порядке поиска DLL над расположением законной библиотеки. Это приведет к тому, что Windows загрузит вредоносную DLL при ее вызове программой жертвы. ### Перенаправление DLL Злоумышленники могут напрямую изменять порядок поиска через перенаправление DLL, которое после включения (в реестре или путем создания файла перенаправления) может привести к тому, что программа загрузит DLL из другого местоположения. ### Перехват фантомных DLL Злоумышленники могут использовать перехват фантомных DLL, нацеливаясь на ссылки на несуществующие файлы DLL. Они могут загрузить свою собственную вредоносную DLL, разместив её с правильным именем в местоположении отсутствующего модуля. ### Подмена DLL Злоумышленники могут нацеливаться на существующие, действительные файлы DLL и заменять их своими собственными вредоносными DLL, размещая их с тем же именем и в том же местоположении, что и действительный файл DLL. Программы, ставшие жертвами перехвата DLL, могут вести себя нормально, поскольку вредоносные DLL могут быть настроены на загрузку законных DLL, которые они должны были заменить, уклоняясь от защиты. Удаленный перехват DLL может произойти, когда программа устанавливает свой текущий каталог в удаленное местоположение, например веб-ресурс, перед загрузкой DLL. Если действительная DLL настроена на запуск с более высоким уровнем привилегий, то контролируемая злоумышленником DLL, которая загружается, также будет выполняться на более высоком уровне. В этом случае техника может использоваться для повышения привилегий.

Тактики

ВыполнениеПредотвращение обнаружения

Родительская техника

T1574
Перехват потока выполнения

Платформы

Windows

Меры защиты

M1013
Руководство для разработчиков приложений
M1038
Предотвращение выполнения кода
M1044
Ограничение загрузки библиотек
M1047
Аудит
M1051
Обновление программного обеспечения
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-471
Угон порядка поиска

Затронутые уязвимости (выводимые)

CVE-2025-4981Pagure содержит уязвимость, связанную с чтением символических ссылок в временных копиях репозитория. Злоумышленник может использовать эту уязвимость для чтения или изменения файлов вне репозитория [1]. Источники: - [1] https://access.redhat.com/security/cve/CVE-2024-4981 - [2] https://bugzilla.redhat.com/show_bug.cgi?id=2278745 - [3] https://bugzilla.redhat.com/show_bug.cgi?id=2280723 - [4] https://pagure.io/pagure/c/454f2677bc50d7176f07da9784882eb2176537f4
CVE-2025-65741Sublime Text 3 Build 3208 or prior for MacOS is vulnerable to Dylib Injection. An attacker could compile a .dylib file and force the execution of this library in the context of the Sublime Text application.
CVE-2024-42191HCL Traveler for Microsoft Outlook (HTMO) уязвим к атакам COM hijacking, что позволяет злоумышленнику изменить или заменить приложение вредоносным содержимым. Источники: - [1] https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120745
CVE-2024-42190HCL Traveler for Microsoft Outlook (HTMO) уязвим для атаки DLL hijacking, которая может позволить злоумышленнику модифицировать или заменить приложение вредоносным содержимым. Для получения более подробной информации и рекомендаций по устранению уязвимости следует обратиться к соответствующей статье в базе знаний HCL Software [1]. Источники: - [1] https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0120744
CVE-2024-23054Проблема в Plone Docker Official Image 5.2.13 (5221) с открытым исходным кодом, которая может привести к удаленному выполнению кода из-за того, что пакет, указанный в ++plone++static/components, отсутствует в общедоступном индексе пакетов (npm).
CVE-2023-41790Уязвимость неконтролируемого элемента пути поиска в Pandora FMS во всех версиях позволяет использовать/манипулировать путями поиска файлов конфигурации. Эта уязвимость позволяет получить доступ к файлу конфигурации сервера и скомпрометировать базу данных. Эта проблема затрагивает Pandora FMS: с 700 по 773.
CVE-2023-41117Проблема обнаружена в EnterpriseDB Postgres Advanced Server (EPAS) до 11.21.32, 12.x до 12.16.20, 13.x до 13.12.16, 14.x до 14.9.0 и 15.x до 15.4.0. Он содержит пакеты, отдельные пакеты и функции, которые запускают SECURITY DEFINER, но недостаточно защищены от атак search_path.
CVE-2023-31543Путаница зависимостей в pipreqs v0.3.0 - v0.4.11 позволяет злоумышленникам выполнять произвольный код, загружая специально созданный пакет PyPI на выбранный сервер репозитория.
CVE-2023-25143Уязвимость неконтролируемого элемента пути поиска в установщике Trend Micro Apex One Server может позволить злоумышленнику добиться состояния удаленного выполнения кода в уязвимых продуктах.
CVE-2022-34825Неконтролируемый элемент пути поиска в CLUSTERPRO X 5.0 для Windows и более ранних версий, EXPRESSCLUSTER X 5.0 для Windows и более ранних версий, CLUSTERPRO X 5.0 SingleServerSafe для Windows и более ранних версий, EXPRESSCLUSTER X 5.0 SingleServerSafe для Windows и более ранних версий позволяет удаленному неаутентифицированному злоумышленнику перезаписывать существующие файлы в файловой системе и потенциально выполнять произвольный код.
CVE-2022-24955Foxit PDF Reader до версии 11.2.1 и Foxit PDF Editor до версии 11.2.1 имеют неконтролируемый элемент пути поиска для DLL-файлов.
CVE-2021-28955git-bug до версии 0.7.2 имеет неконтролируемый элемент пути поиска. Он будет выполнять git.bat из текущего каталога в определенных ситуациях PATH (чаще всего встречается в Windows).
CVE-2020-27955Git LFS 2.12.0 допускает удаленное выполнение кода.
CVE-2020-10515STARFACE UCC Client до 6.7.1.204 на WIndows позволяет внедрять бинарные файлы для выполнения кода с правами System, также известный как usd-2020-0006.
CVE-2019-9546SolarWinds Orion Platform до 2018.4 Hotfix 2 позволяет повысить привилегии через службу RabbitMQ.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.