朝鲜黑客利用两个MITRE子技术:幻影DLL劫持，TCC滥用

本月，MITRE将在其ATT&CK数据库中添加两个子技术，这两个子技术已被朝鲜威胁行为者广泛利用。

第一项并非全新的子技术涉及对透明、同意和控制(TCC)的操纵，TCC是一种安全协议，用于规范苹果macOS上的应用程序权限。

另一种被称为“幻影”动态链接库(DLL)劫持，是DLL劫持的一个鲜为人知的子集，黑客利用Windows中引用但不存在的DLL文件。

TCC操纵和幻影DLL劫持都允许朝鲜黑客分别获得进入macOS和Windows环境的特权，从那里他们可以执行间谍活动和其他开发后操作。

太极拳操纵

“朝鲜是机会主义者，”Interpres Security的威胁情报工程师玛丽娜•梁(Marina Liang)表示。“他们有间谍活动和创收的双重目的，所以他们会关注目标所在的地方。因为macOS越来越受欢迎，所以他们开始转向macOS。”

最近，朝鲜的高级持续威胁(apt)攻击mac电脑的方式之一是通过控制应用程序权限的基本框架TCC。

TCC有一个用户级和系统级数据库。前者受权限保护——用户需要完全磁盘访问(FDA)或类似的东西——后者受系统完整性保护(SIP)保护，这是macOS Sierra首次引入的功能。从理论上讲，特权和SIP是对恶意TCC访问的保护。

然而，在实践中，在某些情况下，两者都可能被破坏。例如，管理员和安全应用程序可能需要FDA正常工作。有时用户会绕过SIP。

Liang解释道:“当开发者在他们的机器上需要灵活性时，或者他们受到操作系统的阻碍时，他们可能会减少苹果允许他们编码和创建软件的控制。“有趣的是，我发现开发人员在进行故障排除时会试图找出(系统上)有什么问题，然后禁用它，看看是否能解决他们的问题。”

当SIP关闭或FDA打开时，攻击者有一个访问TCC数据库的窗口，并在不警告用户的情况下授予自己权限。

还有许多其他方法可以通过TCC。例如，一些敏感目录(如/tmp)完全不在TCC的域内。Finder应用程序默认启用了FDA，它没有列在用户的安全和隐私窗口中，这意味着用户必须独立意识到并手动撤销其权限。攻击者还可以使用社会工程指导用户禁用安全控制。

许多恶意软件工具都被设计用来操纵TCC，包括Bundlore, BlueBlood, Callisto, JokerSpy, XCSSET和其他未命名的macOS木马病毒记录在VirusTotal上。Liang确定了Lazarus Group恶意软件，该恶意软件试图从TCC数据库转储访问表，而APT37的CloudMensis(又名InkSquid, RedEyes, BadRAT, Reaper或ScarCruft)固执地试图确定SIP被禁用的位置，以便加载自己的恶意数据库。

Dark Reading就TCC滥用问题联系了苹果公司，但没有收到回复。

为了阻止攻击者利用TCC，最重要的是保持启用SIP。除此之外，梁还强调需要知道哪些应用程序在你的系统中具有哪些权限。“它是要知道你授予了什么权限。然后——显然说起来容易做起来难——运用最少特权的原则。如果某些应用程序不一定需要某些权限才能运行，那么就删除它们，”她说。

幻影DLL劫持

除了TCC漏洞，亚太地区的攻击者一直在利用Windows中一个更奇怪的漏洞。由于某种原因，操作系统引用了许多实际上并不存在的DLL文件。

“有很多这样的人，”梁惊叹道。“也许有人正在致力于一个项目，为特定目的创建特定的dll，也许它被搁置了，或者他们没有足够的资源，或者只是忘记了它。”

Dark Reading已经联系了微软来澄清这一点。

对于黑客来说，所谓的“幻影”DLL文件就像一张空白画布。他们可以简单地创建具有相同名称的恶意dll，并将它们写入相同的位置，然后它们将被操作系统加载而没有人知道。

Lazarus Group和APT 41(又名Winnti、钡、双龙)对IKEEXT使用了这种策略，IKEEXT是互联网协议安全中认证和密钥交换所必需的服务。当IKEEXT触发时，它尝试加载不存在的“wlbsctl .dll”。APT41还瞄准了其他幻影dll，如由Windows Management Instrumentation (WMI)提供程序主机加载的“wbemcom .dll”。

在Windows摆脱幽灵dll之前，Liang强烈建议公司运行监控解决方案，部署主动应用程序控制，并自动阻止远程加载dll，这是Windows Server默认包含的功能。

原文始发于微信公众号（HackSee）：朝鲜黑客利用两个MITRE子技术:幻影DLL劫持，TCC滥用