CAPEC - CAPEC - 471:搜索顺序劫持(版本3.9)


常见的攻击模式枚举和分类社区资源识别和理解的攻击

家>CAPEC列表> capec - 471:搜索顺序劫持(版本3.9)

capec - 471:劫持搜索顺序

攻击模式ID: 471

抽象:详细的

视图定制的信息:

描述

敌人利用一个弱点在应用程序的外部库规范开发过程加载的加载程序的功能库搜索首先在相同的目录中处理二进制所在,然后在其他目录。开发这个优惠搜索可以让攻击者使加载过程加载的对手的流氓图书馆而不是合法的图书馆。这种攻击可以利用许多不同的图书馆和许多不同的加载过程。没有法医轨迹在系统注册表中一个不正确的库或文件系统加载。

典型的严重性

媒介

的关系

此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。

自然	类型	ID	的名字
ChildOf	标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。	159年	访问重定向到库

此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。

视图名称	顶级类别
域的攻击	软件
机制的攻击	从事欺骗性的交互

执行流程

探索

确定目标一般敏感性:攻击者使用一个自动化工具或手动发现目标应用程序是否使用动态链接库和配置文件或查找表(如过程链接表)包含动态链接库的条目。

技术
攻击者使用一个工具如OSX otool效用或手动探针是否目标应用程序使用动态链接库。
攻击者找到配置文件包含动态链接库的条目并修改条目指向恶意库攻击者精心设计。

实验

工艺恶意库:攻击者使用Explore阶段工艺恶意图书馆的知识,他们将重定向目标杠杆。这些恶意的库可能有相同的api为合法图书馆和额外的恶意代码。

技术
攻击者监视器文件操作执行的目标应用程序使用dtrace和FileMon工具。和攻击者可以延迟操作通过使用“睡眠(2)”和“usleep()”准备适当的条件攻击,或使应用程序执行的任务(大文件解析等)取决于应用程序的目的。

利用

重定向恶意的访问库库:恶意的攻击者重定向目标库他们精心制作的实验阶段。攻击者能够迫使目标应用程序执行任意代码当应用程序试图访问合法库。

技术
攻击者修改配置文件中的条目指向他们精心打造的恶意库。
攻击者利用符号链接/时机问题重定向目标访问恶意图书馆他们精心制作。参见:capec - 132。
攻击者利用文件搜索路径顺序问题重定向目标访问恶意图书馆他们精心制作。参见:CAPEC-38。

先决条件

攻击者有一种机制将其恶意图书馆所需的文件系统上的位置。

技能要求

(级别:中等)

创建一个恶意的库的能力。

缓解措施

设计:修复Windows加载过程消除优惠搜索顺序寻找dll,预计他们的精确位置

设计:标志系统dll,这样可以检测到未经授权的dll。

例子,实例

例如,攻击者访问文件系统可能恶意ntshrui的地方。dll C:\Windows目录中。这个DLL通常存在于System32系统文件夹。Process explorer。exe也位于C: \ Windows,在试图加载ntshrui。dll从System32系统文件夹会加载dll提供优惠的攻击者仅仅因为搜索顺序。因为攻击者已经将其恶意ntshrui。dll在同一个目录加载浏览器。exe进程,提供的DLL攻击者将首先被发现,从而代替合法加载DLL。因为浏览器。exe加载启动周期期间,攻击者的恶意软件是保证执行。

macOS和OS X使用一个通用的方法来寻找需要的动态库(dylib)加载到一个程序基于搜索路径。对手可以利用模糊路径植物dylibs获得特权升级或持久性。一个常见的方法是看看dylibs应用程序使用,然后工厂恶意版本具有相同名称的更高的搜索路径。这通常导致dylib被在同一个文件夹中为应用程序本身。如果程序配置为运行在特权级别高于当前用户,然后当dylib加载到应用程序中,dylib也将运行在高水平。

相关的弱点

一个相关的弱点将一个弱点与这种攻击模式的关系。各协会意味着必须存在一个弱点,对于一个给定的攻击才能成功。如果多个缺陷相关的攻击模式,那么任何的弱点(但不是全部)可能存在的攻击才能成功。每一个相关的弱点是由CWE标识符。

CWE-ID	疲软的名字
427年	不受控制的搜索路径元素

分类法映射

CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。

相关ATT&CK分类法映射(也看到父)

条目ID	条目名称
1574.001	劫持执行流程:DLL劫持搜索顺序
1574.004	劫持执行流程:Dylib劫持
1574.008	劫持执行流程:由搜索路径拦截劫持

引用

[ref - 409]“M趋势报告”。Mandiant公司。2011。<https://www.mandiant.com>。

内容的历史

提交
提交日期	提交者	组织
2014-06-23 (版本2.6)	CAPEC内容团队	manbetx客户端首页
2014-06-23 (版本2.6)
修改
修改日期	修饰符	组织
2015-11-09 (版本2.7)	CAPEC内容团队	manbetx客户端首页
2015-11-09 (版本2.7)	更新的引用
2018-07-31 (版本2.12)	CAPEC内容团队	manbetx客户端首页
2018-07-31 (版本2.12)	更新Attack_Phases、Attack_Prerequisites Attacker_Skills_or_Knowledge_Required、描述描述总结,Examples-Instances,引用,Related_Weaknesses
2019-04-04 (版本3.1)	CAPEC内容团队	manbetx客户端首页
2019-04-04 (版本3.1)	更新Taxonomy_Mappings
2020-07-30 (版本3.3)	CAPEC内容团队	manbetx客户端首页
2020-07-30 (版本3.3)	更新Execution_Flow Taxonomy_Mappings
2020-12-17 (版本3.4)	CAPEC内容团队	manbetx客户端首页
2020-12-17 (版本3.4)	更新的措施之一
2021-06-24 (版本3.5)	CAPEC内容团队	manbetx客户端首页
2021-06-24 (版本3.5)	更新Taxonomy_Mappings
2022-09-29 (版本3.8)	CAPEC内容团队	manbetx客户端首页
2022-09-29 (版本3.8)	更新Taxonomy_Mappings
以前的条目名称
改变日期	以前的条目名称
2018-07-31 (版本2.12)	DLL搜索顺序劫持

更多的信息是可用的,请选择一个不同的过滤器。

页面最后更新或审查:2021年10月21日


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页

常见的攻击模式枚举和分类

capec - 471:劫持搜索顺序