Ir para conteúdo
Entre para seguir isso  
Pimptech

Mitigating DLL Hijacking / DLL MITM

Posts Recomendados

Falai, galera!

No meu último post eu trouxe uma forma the fazer um hijacking em uma DLL sem nenhum tipo de injecting. Hoje you vou trazer uma forma de mitigar isso. Claro que não é nenhuma forma definitiva e também não é uma forma muito bonita hehe, mas de certa funciona bem. 

Basicamente a ideia é não usar a IAT para importar a função e ao invés disso pegar o offset diretamente da dll compilada e somar com o BaseAddress da DLL. Assim você consegue fazer uma chamada dinâmica na DLL. Seguindo o programa do mesmo exemplo anterior da função send

O que eu fiz foi ir diretamente na IAT do programa dll-consume pegar o address da IAT codar o offset diretamente no programa.

1.jpg.529e1d6a294c8786f73e36ca1dd0abc8.jpg

2.jpg.939f0f399d730a82f1869b9d77f9a18b.jpg

 

Fiz esse mesmo trajeto da IAT pelo x64dbg peguei o offset da função 0x1309 (não se esqueça do little-endian). Dentro do código eu carreguei a DLL dinamicamente e formei o address para fazer a chamada dinâmica. 

3.jpg.56f32190d327fa93c523f55a5aa3660a.jpg

 

Fiz ali um function-type e depois formei o address da function dinamicamente e atribui pro novo object do tipo da function-type. 

4.jpg.c845f239306b2af94804037374dd09d9.jpg

 

Conclusão

Esse post foi bem breve, mas acho que vale a pena compartilhar essas coisas. Eu acho muito válido (pelo menos para quem é programador) sempre pensar de forma ofensiva e defensiva. Sempre tente quebrar seus próprios programas e defendê-los ao mesmo tempo. É um tipo de exercício muito bom e eficaz. Seja criativo! :) Abraço!

Qualquer dúvida, crítica, sugestão ou comentário tamo aí! Até!

Post original: https://verseinversing.blogspot.com.br/2017/11/mitigating-dll-mitm-manual-dll.html

Editado por Pimptech
  • Curtir 1

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

Entre para seguir isso  

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.

×