Ir para conteúdo

Mitigating DLL Hijacking / DLL MITM


Pimptech

Posts Recomendados

Falai, galera!

No meu último post eu trouxe uma forma the fazer um hijacking em uma DLL sem nenhum tipo de injecting. Hoje you vou trazer uma forma de mitigar isso. Claro que não é nenhuma forma definitiva e também não é uma forma muito bonita hehe, mas de certa funciona bem. 

Basicamente a ideia é não usar a IAT para importar a função e ao invés disso pegar o offset diretamente da dll compilada e somar com o BaseAddress da DLL. Assim você consegue fazer uma chamada dinâmica na DLL. Seguindo o programa do mesmo exemplo anterior da função send

O que eu fiz foi ir diretamente na IAT do programa dll-consume pegar o address da IAT codar o offset diretamente no programa.

1.jpg.529e1d6a294c8786f73e36ca1dd0abc8.jpg

2.jpg.939f0f399d730a82f1869b9d77f9a18b.jpg

 

Fiz esse mesmo trajeto da IAT pelo x64dbg peguei o offset da função 0x1309 (não se esqueça do little-endian). Dentro do código eu carreguei a DLL dinamicamente e formei o address para fazer a chamada dinâmica. 

3.jpg.56f32190d327fa93c523f55a5aa3660a.jpg

 

Fiz ali um function-type e depois formei o address da function dinamicamente e atribui pro novo object do tipo da function-type. 

4.jpg.c845f239306b2af94804037374dd09d9.jpg

 

Conclusão

Esse post foi bem breve, mas acho que vale a pena compartilhar essas coisas. Eu acho muito válido (pelo menos para quem é programador) sempre pensar de forma ofensiva e defensiva. Sempre tente quebrar seus próprios programas e defendê-los ao mesmo tempo. É um tipo de exercício muito bom e eficaz. Seja criativo! :) Abraço!

Qualquer dúvida, crítica, sugestão ou comentário tamo aí! Até!

Post original: https://verseinversing.blogspot.com.br/2017/11/mitigating-dll-mitm-manual-dll.html

Link para o comentário
Compartilhar em outros sites

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

  • Quem Está Navegando   0 membros estão online

    • Nenhum usuário registrado visualizando esta página.
×
×
  • Criar Novo...