黑客开始使用双DLL侧加载技术来逃避检测

一个名为“Dragon Breath”、“Golden Eye Dog”或“APT-Q-27”的高级持续性威胁（APT） 黑客组织如今向世人展示了一股新趋势，即使用典型的DLL侧加载技术的多种复杂变体来逃避检测。

这些攻击变体始于一条初始途径，该途径利用了一个干净的应用程序（最常见的是Telegram），侧加载第二阶段的攻击载荷（有时也是干净的），第二阶段的攻击载荷进而侧加载恶意软件加载程序DLL。

吸引受害者的诱饵是沦为木马的Telegram、LetsVPN或WhatsApp应用程序，这些适用于安卓、iOS或Windows的应用程序据称针对中国网民进行了本地化处理。沦为木马的应用程序被认为是使用BlackSEO或恶意广告进行推广的。

据密切关注这伙威胁分子近期攻击的Sophos分析师声称，这起活动的目标范围集中在中国、日本、中国台湾、新加坡、中国香港和菲律宾讲中文的Windows用户。

图1. 普通攻击示意图（图片来源：Sophos）

双DLL侧加载

DLL侧加载是一种自2010年以来就被攻击者利用的攻击技术，利用Windows加载应用程序所需要的DLL（动态链接库）文件的不安全方式大搞破坏。

攻击者在应用程序的目录中放置一个与所需的合法DLL同名的恶意DLL。当用户启动该可执行文件时，Windows优先考虑本地恶意DLL，而不是系统文件夹中的合法DLL。

攻击者的DLL包含在此阶段加载的恶意代码，通过利用加载它的受信任、经过签名的应用程序，为攻击者提供特权或在主机上运行命令。

在这起活动中，受害者执行上述应用程序的安装程序，而安装程序会在系统上投放组件，并创建桌面快捷方式和系统启动条目。

如果受害者尝试启动新创建的桌面快捷方式（这是威胁分子预料的第一步），而不是启动应用程序，以下命令就在系统上执行。

图2. 在被攻击系统上执行的命令（图片来源：Sophos）

该命令运行重命名版本的“regsvr32.exe”（“appR.exe”），以执行重命名版本的“scrobj.dll”（“appR.dll”），并提供一个DAT文件（“appR.dat”）作为其输入。该DAT文件含有由脚本执行引擎库（“appR.dll”）执行的JavaScript代码。

JavaScript代码在前台启动Telegram应用程序用户界面，同时在后台安装各种侧加载组件。

接下来，安装程序使用干净的依赖项（“libexpat.dll”）加载第二阶段的应用程序，进而加载第二个干净的应用程序作为中间攻击阶段。

在攻击的一种变体中，干净的应用程序“XLGame.exe”被重命名为“Application.exe”，而第二阶段加载程序也是一个干净的可执行文件，已由北京百度网讯科技有限公司签名。

图3. 第一个攻击变体示意图（图片来源：Sophos）

在另一种变体中，第二阶段的干净加载程序是“KingdomTwoCrowns.exe”，它没有经过数字签名，Sophos 无法确定除了混淆执行链之外它还有什么优点。

在攻击的第三种变体中，第二阶段加载程序是干净的可执行文件“d3dim9.exe”，已由惠普公司进行数字签名。

图4. 由惠普签名的可执行文件（图片来源：Sophos）

这种“双DLL侧加载”技术实现了规避、混淆和持久化等目的，使防御者更难适应特定的攻击模式、有效地保护其网络。

最终的攻击载荷

在所有观察到的攻击变体中，最终的攻击载荷DLL从txt文件（“templateX.txt”）解密后在系统上执行。

该攻击载荷是支持多个命令的后门，比如系统重启、注册表项修改、获取文件、窃取剪贴板内容、在隐藏的CMD窗口上执行命令等等。

该后门还针对MetaMask加密货币钱包Chrome扩展插件，旨在窃取受害者的数字资产。

总之，DLL侧加载仍然是黑客们的一种有效的攻击方法，也是微软和开发人员十多年来未能解决的一种方法。

在最新的APT-Q-27攻击中，分析师观察到DLL侧加载变体难以跟踪，因此它们获得了一条更隐蔽的感染链。