使用DLL注入方式绕过Windows 10勒索软件保护机制

从Windows 10 1709秋季创意者更新开始,微软为Windows 10安然中间添加了一个名为“受节制的文件夹造访”的全新打单软件防护功能,可用于防止未知法度榜样改动受保护文件夹中的文件。

在上周举行的DerbyCon安然大年夜会上,安然专家展示了一种使用DLL注入要领来绕过该打单软件保护功能的要领。

应用DLL注入绕过“受节制的文件夹造访”功能

“受节制的文件夹造访”可帮忙用户保护文件夹以及内部文件,简而言之便是只容许列入白名单的利用法度榜样造访和改动该文件夹,白名单涵盖用户指定和Microsoft默认列入白名单的利用法度榜样。

这个要领的冲破口是已经列入了上述白名单的explorer.exe进程,安然展架可在系统启动时将恶意DLL注入资本治理器,从而绕过保护。

主要步骤为:

当explorer.exe启动时,它将加载鄙人面显示的HKEY_CLASSES_ROOT \ * \ shellex \ ContextMenuHandlers注册表项下找到的DLL。

HKEY_CLASSES_ROOT树是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER中注册表信息的合集。履行合并时,Windows会以HKCU树中的数据为优先级。

这便是说假如HKCU中存在键值,它的优先级将比HKLM中相同键值的高,并且是合并到HKEY_CLASSES_ROOT树中的数据。这么说可能有点绕,可以涉猎相关文档以获取更多信息。

默认环境下,当资本治理器启动时,它会从HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32键值加载Shell.dll。要将恶意DLL加载到explorer.exe中,只需创建一个HKCU \ Software \ Classes \ CLSID \ {90AA3A4E-1CBA-4233-B8BB-535773D48449} \ InProcServer32键值并将其默认值设为恶意DLL即可。

当Explorer.exe被停止和重启时,explorer.exe会启动恶意DLL而不是正常的Shell.dll。下图是注入explorer.exe的DLL示例。

这样就可以绕过了“受节制的文件夹造访”功能,而且Windows Defender也没有检测到该恶意行径。实际上,Avast、ESET、Malwarebytes Premium和McAfee等老牌安然软件的打单软件保护功能都没有报警。

微软的回应

安然专家已向微软安然相应中间表露了这个破绽,并供给了可用于绕过“受节制的文件夹造访”功能的观点验证。

不过,微软并不觉得这是一个相符赏金计划和必要修复的破绽。微软的复书中是这么说的:“假如我理解精确的话,这种进击要领的条件是进击者已经登录了目标账户,接下来是经由过程改动注册表来植入DLL。因为该账户只能写入HKCU,是以无法影响其他用户。因为登录账户之后就已经得到了响应权限,也不存在提权破绽等问题。是以该问题关闭且不再跟踪。”

然则安然专家觉得打单软件不必要提权来加密受害者的谋略机,恶意软件开拓职员可以应用其他破绽或措施掌控卷影复制办事(VSS)。这样以来可以在没有治理员权限的环境下安装恶意软件,并且仍旧可以轻松绕过“受节制的文件夹造访”功能。

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包