网络安全研究人员发现了一种令人担忧的新型攻击手段,威胁行为者正通过动态链接库(DLL)侧加载技术,积极利用 Google Chrome 133.0.6943.126 版本中的一个漏洞。
这种复杂的攻击能够通过 Google Chrome 受信任的子进程执行恶意代码,给全球用户带来重大安全风险。
DLL 侧加载是指攻击者利用 Windows 应用程序加载动态链接库(DLL)的方式发动攻击。该技术利用了 Windows 的搜索顺序,使得恶意 DLL 能够在合法 DLL 之前被加载。
在这种情况下,Threatmon 报告指出,攻击者通过用恶意的 chrome_elf.dll 文件替换合法的同名文件,来针对 Google Chrome 的进程发动攻击。
Securonix 威胁研究部门解释道:“DLL 搜索顺序劫持是最常见的 DLL 侧加载方法之一,当攻击者将一个与合法 DLL 同名的恶意 DLL 放置在合法 DLL 路径之前的搜索位置时,就会发生这种情况。”
当 Google Chrome 运行时,它会在不知情的情况下加载攻击者的 DLL,并以浏览器的受信任权限执行恶意代码。
Google Chrome 中的 DLL 侧加载漏洞
此次攻击利用了 2025 年 2 月发布的 Google Chrome 最新版本(133.0.6943.126)中的一个漏洞。
虽然 Google 已经发布了安全更新,修复了 Chrome 133 中的其他高严重性漏洞,但这个特定的 DLL 侧加载漏洞似乎仍可被利用。
该攻击使用了一种名为 DLL 代理的复杂技术,恶意 DLL 充当代理,拦截来自可执行文件的函数调用,并将其转发到合法的 DLL。
这确保了应用程序维持正常行为,同时让恶意代码在不被检测到的情况下执行。
安全分析师指出,此次攻击的实施方式特别复杂:
1.恶意 DLL 创建了一个持久化的后门,即使在 Google Chrome 关闭后仍能继续运行。
2.检测率极低,在 70 次扫描中,安全工具仅在 2 次扫描中识别出了恶意 DLL。
3.恶意软件采用了反检测技术来逃避分析。
此次攻击的一个显著特点是使用 Nim 编程语言来开发恶意代码。
Nim 在恶意软件开发中并不常见,但它为攻击者提供了诸多优势,包括逃避基于签名的检测,以及阻碍不熟悉该语言的安全研究人员进行分析。
这次攻击代表了威胁策略的一个令人担忧的演变。至少从 2010 年起,DLL 侧加载就有相关记录,但针对像 Google Chrome 这样广泛使用的软件发动此类攻击,表明攻击者在不断完善已有的技术。
该漏洞影响适用于 Windows、macOS 和 Linux 系统的 Google Chrome 133.0.6943.126 版本。强烈建议用户立即更新浏览器并采取额外的安全措施。
缓解措施
安全专家推荐了几种防护措施:
1.立即将 Google Chrome 更新到最新版本。
2.部署能够识别 DLL 侧加载的端点检测解决方案。
3.使用应用程序白名单来防止未经授权的 DLL 加载。
4.在关闭 Google Chrome 后,监控系统进程是否有异常行为。
随着这些攻击手段日益复杂,各机构必须保持警惕,积极主动地采取安全措施,以防范不断演变的威胁态势。
发表评论
您还未登录,请先登录。
登录