Обнаружение отражающей DLL инъекции
В последние несколько лет вредоносное ПО (и некоторые инструменты для ручного тестирования, такие как метаполитер Metasploit) начали использоватьрефлексивная DLL инъекция (PDF) загрузить DLL в память процесса. Преимущество заключается в том, что файл никогда не записывается на диск и его трудно обнаружить. Многие примеры, которые я видел, основаны наРабота Иоахима Бауха.
Тем не менее, вDEF CON 20 Эндрю Кинг продемонстрировал, что он может обнаруживать DLL-инъекции, используя отражающую DLL-инъекцию, Его презентация называлась & quot;Обнаружение отражающей инъекции& Quot ;.Unfortunately, he has not released the source code (which he certainly is under no obligation to do).
UPDATE: Apparently I missed it, but Andrew did open-source this work a couple years ago: https://github.com/aking1012/dc20
Кроме того, инструмент под названием & quot;Antimeter& Quot; может обнаружить двигатель измерителя при загрузке с помощью отражающей инъекции DLL. Опять закрытый источник.
Я понимаю, что инструмент Эндрю Кинга и Antimeter написаны на Python и используют pydbg / pydasm для перечисления памяти для запуска исполняемых файлов.
Есть ли у кого-нибудь какой-нибудь общий исходный код (в Python, C, Delphi или каким-либо другим способом), которым он готов поделиться, демонстрирующий, как обнаружить рефлексивное внедрение DLL? Существуют средства криминалистической экспертизы памяти, которые могут анализировать дамп памяти и находить его, но я стремлюсь выполнить приложение в работающей системе (как это делает антиметр) и найти процессы с рефлективно введенными библиотеками DLL.
Если вы заинтересованы в понимании того, как работает рефлексивная DLL инъекция, есть некоторыекод с открытым исходным кодом, написанный на Delphi это показывает, как это сделать.
UPDATE: I tested and I can reflectively inject DLL's without admin rights (and as a regular user), but of course as a USER I can only inject into processes running at the same integrity level (and in my session)...but that still covers applications like the Office suite, Internet Explorer, etc.