近日被 Securonix 威胁研究人员确定为 SLOW#TEMPEST 的攻击活动报告中披露了一个名为使用UI.exe进行DLL 劫持攻击的攻击手法。文中指出”该活动似乎专门针对中国境内的受害者,文件名和诱饵主要以中文书写即可证明这一点。此外,威胁行为者使用的所有命令和控制 (C2) 基础设施均由中国公司深圳腾讯计算机系统有限公司托管在中国。仔细查看恶意样本的遥测数据表明,所涉及的大多数恶意软件和文件都来自中国境内,这进一步证实了中国确实是此次攻击的主要目标的可能性。”同时表示使用进行攻击的LicensingUI.exe 的这种 DLL 侧载或劫持技术似乎尚未被报道。所以进行分析一波。
在Securonix 威胁研究人员捕捉的”20240739人员名单信息.zip”样本中包含一个名为”违规远程控制软件人员名单.docx.lnk”伪装成 .docx 文件的 LNK 文件和隐藏起来的dui70.dll、UI.exe文件。在Securonix 的博客文章中可以清晰看到zip的文件信息:
图 1:提取 zip 文件内容
其中伪装成 .docx 文件的 LNK 文件诱导目标用户进行点击,点击之后执行LicensingUI.exe,同时UI.exe加载dui70.dll,dui70.dll为执行cobalt strike的shellcode,大概的操作流程如下图。
图 2:20240739人员名单信息样本大概攻击流
分析UI.exe可以知道为LicensingUI.exe重命名,LicensingUI.exe 是 Windows 中的一个合法系统文件,负责显示与软件许可和激活相关的用户界面。在Windows中的路径为”C:WindowsSystem32″中。具有合法的Windows签名,通过下图可以明显看到。
图 3:UI.exe签名信息
通过在ProcessMon中监视LicensingUI可以看到对应的DLL加载信息,在加载的DLL中可以看到攻击者使用的DLL被加载进LicensingUI.exe进程内存中,如下图所示:
图 4:LicensingUI DLL加载情况
复制LicensingUI.exe出来桌面然后在桌面放置一个我们的DLL并重命名为dui70.dll,可以在ProcessMon中看到加载了桌面的dui70.dll,如下图所示:
图 5:LicensingUI 加载桌面的dui70.dll情况
至此,攻击者通过合法的LicensingUI.exe加载了恶意的dui.dll进行后续攻击滥用。
原文始发于微信公众号(黑白天实验室):针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析
