Ein einsamer Forscher hat das Blatt für Hacker gewendet

Ein einsamer Forscher hat das Blatt für Hacker gewendet

Ein Forscher namens hyp3rlinx hat herausgefunden, dass einige der beliebtesten Ransomware-Stämme, wie Conti, REvil, LockBit und viele andere, einen Fehler aufweisen, der sie anfällig für DLL-Hijacking macht.

Durch die Ausnutzung der Schwachstelle konnte der Forscher verhindern, dass die Ransomware ihr Hauptverkaufsargument erfüllt: die Dateiverschlüsselung.

Wie BleepingComputer berichtet, wird DLL-Hijacking normalerweise verwendet, um bösartigen Code in legitime Anwendungen einzuschleusen. Für diese Ransomware-Stämme erstellte der Forscher jedoch einen Machbarkeitsnachweis und zeichnete ein Demovideo auf, das zeigt, wie es gemacht wird.

Hacken Sie DLL-Dateien

Beim DLL-Hijacking wird die Art und Weise ausgenutzt, wie Anwendungen Speicher in DLL-Dateien (Dynamic Link Library) finden und laden. Ein Programm, dem es an ausreichenden Prüfungen mangelt, kann eine DLL von einem Pfad außerhalb seines Verzeichnisses laden, was im Wesentlichen die Privilegien erhöht und die Ausführung willkürlichen Codes ermöglicht.

In diesem Fall erstellte der Forscher einen einzigartigen Code und kompilierte ihn in eine DLL mit einem der Ransomware bekannten Namen. Der Forscher weist auch darauf hin, dass es wichtig ist, dass die DLL an einem Ort platziert wird, an dem Ransomware-Betreiber normalerweise ihre Malware platzieren und ausführen, beispielsweise an einem Netzwerkstandort mit Schlüsseldaten.

Dies würde die Ransomware bereits bei ihrer Entstehung töten.

Was diese Methode noch tödlicher macht, ist die Tatsache, dass sie nicht als Sicherheitslösung kategorisiert und daher nicht auf die gleiche Weise umgangen werden kann, wie Ransomware-Stämme normalerweise Antiviren- und andere Sicherheitslösungen umgehen. Cybersicherheit.

Die große Frage ist: Wie lange wird diese Abhilfemaßnahme anhalten? Ransomware-Betreiber aktualisieren und aktualisieren ihre Produkte häufig, und wenn es sich um einen neu entdeckten Fehler handelt, wird es wahrscheinlich nur eine Frage der Zeit sein, bis er behoben wird.

Leider sind Ransomware-Betreiber recht schnell und gewissenhaft und wir können damit rechnen, dass die Lücke eher früher als später geschlossen wird.

Via: BleepingComputer