Pillole di #MalwareAnalysis

Le #DLL sono dei particolari file utilizzati in ambiente #Windows con lo scopo di rendere disponibili ad altri programmi specifiche funzioni.

Questa caratteristica permette al programma fruitore di poter utilizzare funzioni fornite dalla DLL senza doverle riscrivere nuovamente .

Ad es. User32.dll fornisce tutte le API per poter lavorare con l’interfaccia grafica, come ad esempio MessageBox(), un programma che deve utilizzare questa primitiva potrà caricare User32.dll ed utilizzare la funzione per poter mostrare una finestra di messaggio senza la necessità di doverla riscrivere di nuovo.

Naturalmente i #malware approfittano di questa caratteristica vanno a manipolare le DLL per iniettare codice malevolo all’interno del programma fruitore.

Questo viene ottenuto con diversi tipi di attacchi, uno di questi è il DLL search order hijacking che prevede di ingannare Windows sfruttando l’ordine di ricerca delle DLL all’interno del file system.

In pratica Windows quando deve caricare una dll la ricerca secondo uno schema predefinito, se l’attaccante riesce a mettere nella catena di ricerca una DLL malevola prima di quella legittima il gioco è fatto.

#cybersecurity #cybersecurityup #hacker #dllsearchorderhijacking #zeroday

Tweet