Mitigating DLL Hijacking / DLL MITM

[Pimptech]

Falai, galera!

No meu último post eu trouxe uma forma the fazer um hijacking em uma DLL sem nenhum tipo de injecting. Hoje you vou trazer uma forma de mitigar isso. Claro que não é nenhuma forma definitiva e também não é uma forma muito bonita hehe, mas de certa funciona bem. 

Basicamente a ideia é não usar a IAT para importar a função e ao invés disso pegar o offset diretamente da dll compilada e somar com o BaseAddress da DLL. Assim você consegue fazer uma chamada dinâmica na DLL. Seguindo o programa do mesmo exemplo anterior da função send. 

O que eu fiz foi ir diretamente na IAT do programa dll-consume pegar o address da IAT codar o offset diretamente no programa.

 

Fiz esse mesmo trajeto da IAT pelo x64dbg peguei o offset da função 0x1309 (não se esqueça do little-endian). Dentro do código eu carreguei a DLL dinamicamente e formei o address para fazer a chamada dinâmica. 

 

Fiz ali um function-type e depois formei o address da function dinamicamente e atribui pro novo object do tipo da function-type. 

 

Conclusão

Esse post foi bem breve, mas acho que vale a pena compartilhar essas coisas. Eu acho muito válido (pelo menos para quem é programador) sempre pensar de forma ofensiva e defensiva. Sempre tente quebrar seus próprios programas e defendê-los ao mesmo tempo. É um tipo de exercício muito bom e eficaz. Seja criativo!  Abraço!

Qualquer dúvida, crítica, sugestão ou comentário tamo aí! Até!

Post original: https://verseinversing.blogspot.com.br/2017/11/mitigating-dll-mitm-manual-dll.html