Jump to content
Sign in to follow this  
Pimptech

Mitigating DLL Hijacking / DLL MITM

Recommended Posts

Falai, galera!

No meu último post eu trouxe uma forma the fazer um hijacking em uma DLL sem nenhum tipo de injecting. Hoje you vou trazer uma forma de mitigar isso. Claro que não é nenhuma forma definitiva e também não é uma forma muito bonita hehe, mas de certa funciona bem. 

Basicamente a ideia é não usar a IAT para importar a função e ao invés disso pegar o offset diretamente da dll compilada e somar com o BaseAddress da DLL. Assim você consegue fazer uma chamada dinâmica na DLL. Seguindo o programa do mesmo exemplo anterior da função send

O que eu fiz foi ir diretamente na IAT do programa dll-consume pegar o address da IAT codar o offset diretamente no programa.

1.jpg.529e1d6a294c8786f73e36ca1dd0abc8.jpg

2.jpg.939f0f399d730a82f1869b9d77f9a18b.jpg

 

Fiz esse mesmo trajeto da IAT pelo x64dbg peguei o offset da função 0x1309 (não se esqueça do little-endian). Dentro do código eu carreguei a DLL dinamicamente e formei o address para fazer a chamada dinâmica. 

3.jpg.56f32190d327fa93c523f55a5aa3660a.jpg

 

Fiz ali um function-type e depois formei o address da function dinamicamente e atribui pro novo object do tipo da function-type. 

4.jpg.c845f239306b2af94804037374dd09d9.jpg

 

Conclusão

Esse post foi bem breve, mas acho que vale a pena compartilhar essas coisas. Eu acho muito válido (pelo menos para quem é programador) sempre pensar de forma ofensiva e defensiva. Sempre tente quebrar seus próprios programas e defendê-los ao mesmo tempo. É um tipo de exercício muito bom e eficaz. Seja criativo! :) Abraço!

Qualquer dúvida, crítica, sugestão ou comentário tamo aí! Até!

Post original: https://verseinversing.blogspot.com.br/2017/11/mitigating-dll-mitm-manual-dll.html

Edited by Pimptech
  • Curtir 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...