一种复杂的网络安全威胁已经出现,因为威胁行为者开始利用动态链接库(DLL)侧加载技术来分发恶意的 Python 代码。
这种攻击手段使黑客能够利用合法应用程序搜索和加载动态链接库(DLL)的方式,绕过标准的安全控制措施。
这种技术使攻击者能够以受攻击应用程序的权限来执行任意的 Python 代码,从而在目标系统中创建一个隐蔽且持久的访问点。
DLL 侧加载利用了 Windows 的 DLL 搜索顺序机制,攻击者将恶意的 DLL 文件放置在合法应用程序会加载它们的位置,而不是加载原本预期的合法库文件。
这种方法特别有效,因为它利用了受信任的应用程序,使得恶意软件能够躲避主要专注于识别可疑可执行文件的安全解决方案的检测。
互联网风暴中心(Internet Storm Center)的安全研究人员上周检测到了这一攻击活动,并指出攻击者专门针对金融和医疗保健行业的组织。
他们的分析显示,恶意软件的操控者正在使用这种技术来交付基于 Python 的有效载荷,与传统的编译型恶意软件相比,它具有更高的灵活性和跨平台能力。
攻击始于一封鱼叉式网络钓鱼电子邮件,其中包含一个看似无害的附件。当打开该附件时,会执行一个合法的应用程序,该程序试图加载一个特定的 DLL。
攻击者确保他们的恶意 DLL 在搜索路径中首先被找到,从而使他们能够劫持执行流程。
一旦恶意 DLL 被加载,它会将一个 Python 解释器注入内存,并执行嵌入的 Python 代码,从而建立持久性连接并与命令控制服务器进行通信。
DLL 侧加载
恶意 DLL 模仿合法库的导出函数,但包含额外的代码,用于解密和加载 Python 脚本。
对样本的分析表明,攻击者使用了一种自定义的基于异或(XOR)的加密算法来混淆嵌入的 Python 代码。
当合法应用程序从它认为是真正的 DLL 中调用一个导出函数时,恶意版本的 DLL 会同时执行预期的功能和隐藏的有效载荷。
提取出的 Python 代码包含用于系统侦察、凭据窃取和横向移动的复杂模块。
一个特别值得关注的方面是,攻击者使用了像 “requests” 和 “pywin32” 这样的合法 Python 库,以便与正常的系统操作相融合。
该恶意软件还采用了一种无文件技术,即大部分恶意代码仅存在于内存中,这进一步增加了检测的难度。
安全专家建议各组织实施应用程序白名单机制,及时对系统进行补丁更新,并使用能够监控可疑 DLL 加载模式的工具。
此外,配置 Windows 系统,使其在搜索 DLL 时优先选择系统目录,这样可以缓解许多 DLL 侧加载攻击。
发表评论
您还未登录,请先登录。
登录