ieUnatt.exe是Internet Explorer的一个组件,用于在无人参与的情况下执行某些任务。自Windows 10以来,ieUnatt.exe 的行为发生了变化,特别是在启动时几乎立即加载了一个名为 wdscore.dll 的动态链接库文件。
关键点在于,ieUnatt.exe 使用 LoadLibraryEx 函数来加载 wdscore.dll,但是在调用时没有使用特殊的加载标志(即两个参数均为零),这使得其行为类似于 LoadLibrary 函数。这种加载方式可能不会指定一个绝对路径,而是依赖于标准的DLL搜索顺序来找到并加载 wdscore.dll。
由于这种加载方式,如果攻击者能够将一个恶意的 wdscore.dll 放置在 ieUnatt.exe 会搜索的目录之一,那么 ieUnatt.exe 可能会加载并执行这个恶意的DLL。这种技术是DLL劫持的一个例子,它利用了应用程序加载DLL时的行为和搜索路径。
如果攻击者能够控制 ieUnatt.exe 的运行环境(例如,通过将 ieUnatt.exe 和恶意的 wdscore.dll 复制到同一个文件夹),那么攻击者可以利用这个行为来执行恶意代码。
这种攻击方法的成功依赖于多个条件,是否有权限将文件放置在特定的位置,以及系统的安全配置。
原文始发于微信公众号(TtTeam):红队Tips DLL劫持(2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论