DLL侧载（DLL Side-Loading） 是一种攻击技术，通常被黑客利用来执行恶意代码。它发生在应用程序加载动态链接库（DLL）文件时，攻击者通过某些手段将恶意的DLL文件植入到应用程序的正常路

标签：侧载 应用程序 恶意 攻击者 DLL 加载

DLL侧载（DLL Side-Loading） 是一种攻击技术，通常被黑客利用来执行恶意代码。它发生在应用程序加载动态链接库（DLL）文件时，攻击者通过某些手段将恶意的DLL文件植入到应用程序的正常路径或不受限制的目录中，从而欺骗操作系统或应用程序加载恶意DLL，导致执行攻击者控制的代码。

1. 什么是DLL侧载？

DLL（动态链接库，Dynamic Link Library）是Windows操作系统中用于存储代码、数据和资源的文件。它们可以被多个程序共享，避免重复代码并提高效率。DLL文件通常通过操作系统或应用程序在运行时加载和调用。

DLL侧载是一种攻击方式，黑客将恶意的DLL文件以与合法的DLL文件相同的名称放置在特定位置。当应用程序加载这些合法DLL文件时，操作系统实际上会加载恶意的DLL文件，从而执行攻击者所植入的恶意代码。

2. DLL侧载攻击的过程：

攻击者利用DLL侧载攻击的基本流程如下：

1. 寻找漏洞或合适的应用程序： 攻击者通常会寻找那些不使用完全限定路径的应用程序，或是那些在加载DLL时没有正确验证DLL来源的应用程序。例如，有些应用程序可能会在不安全的目录（如用户目录或临时文件夹）中查找DLL文件。

2. 创建恶意DLL： 攻击者会编写一个恶意的DLL文件，其中包含恶意代码，这些代码可能会被用来进行远程控制、窃取信息、破坏系统或进行其他恶意行为。

3. 将恶意DLL放入可被应用程序加载的路径中： 攻击者会将这个恶意DLL文件放入目标程序可能加载的目录，通常这个目录与应用程序的合法DLL文件所在位置相同，或是某个系统不会引起注意的位置。

4. 应用程序加载恶意DLL： 当目标应用程序启动并试图加载所需的DLL时，由于DLL侧载技术，操作系统加载的是恶意DLL，而不是合法的DLL文件，导致恶意代码被执行。

3. 为什么DLL侧载有效？

DLL侧载之所以有效，主要依赖于以下几个因素：

1. DLL查找路径问题： 操作系统在查找DLL时，会按照一定的顺序搜索多个路径，包括应用程序的目录、系统目录等。如果在这些路径中存在一个恶意DLL，操作系统可能会加载它，而不是找到正确的合法DLL。

2. 程序未正确验证DLL： 很多应用程序在加载DLL时，未进行完整的验证，也没有采用数字签名、路径检查等安全措施，导致恶意DLL可以伪装成正常的DLL。

3. 不安全的文件路径： 有些应用程序在加载DLL时，允许从不受信任的文件夹中加载DLL，例如临时文件夹、用户文件夹等，这些地方可能被攻击者控制，容易被用于放置恶意DLL。

4. 代码注入与执行： 通过DLL侧载，攻击者可以在应用程序执行过程中注入恶意代码，从而实现对目标系统的控制、数据窃取等恶意行为。

4. DLL侧载的常见场景和攻击示例：

• 常见场景：攻击者可能利用DLL侧载攻击：

  • 安装软件或游戏程序时，通过捆绑恶意DLL文件。
  • 攻击某些系统管理工具，利用DLL侧载注入恶意代码。
  • 通过钓鱼邮件或伪造合法的软件下载链接，诱导用户下载恶意应用或更新，导致DLL侧载。

• 攻击示例：有许多知名的网络攻击案例使用了DLL侧载，例如：

  • APT攻击：APT（高级持续性威胁）攻击者经常使用DLL侧载技术来潜伏在受害者系统中，获取管理员权限并进行持续的攻击。
  • 恶意软件传播：恶意软件和勒索病毒也可能利用DLL侧载来通过合法的应用程序传播，躲避杀毒软件的检测。

5. 如何防范DLL侧载攻击？

1. 限制DLL加载路径

确保应用程序只从可信的、预定义的路径加载DLL，避免从临时目录或不安全的路径加载DLL。

2. 使用完全限定路径

应用程序应使用完全限定的路径来加载DLL，而不是依赖操作系统的默认搜索路径。这可以防止加载错误的DLL。

3. 数字签名验证

使用数字签名对DLL文件进行验证，确保加载的DLL来自合法的发布者。操作系统和应用程序可以通过验证签名来防止加载未经授权的DLL。

4. 强制代码完整性检查

Windows系统提供了一些安全机制，如 Windows Defender Application Control (WDAC) 和 AppLocker，可以限制应用程序只能加载经过签名和验证的DLL文件。

5. 定期扫描和监控

使用反病毒软件和端点保护系统（如EDR）定期扫描系统文件和应用程序，检测潜在的恶意DLL文件和行为。

6. 最小权限原则

将应用程序的执行权限限制在最小范围内，防止攻击者利用DLL侧载获得管理员权限。

7. 避免使用易受攻击的应用程序

避免使用存在已知DLL侧载漏洞的应用程序，及时更新软件，修补已知的安全漏洞。

DLL侧载是一种通过将恶意DLL文件放置在程序加载路径中，利用程序加载DLL时的不当验证来执行恶意代码的攻击技术。其有效性依赖于操作系统和应用程序在加载DLL时没有正确的验证机制，或者程序加载的路径不安全。为了防范DLL侧载攻击，开发者和系统管理员应当加强路径管理、使用数字签名验证、实施最小权限原则等安全措施，以降低系统和网络的风险。

---

**DLL侧载（DLL Side-Loading）**的底层原理涉及到操作系统如何处理动态链接库（DLL）文件的加载过程，以及攻击者如何利用这个过程将恶意DLL文件注入到目标应用程序中。DLL侧载攻击通常依赖于操作系统的DLL加载机制和路径查找顺序中的漏洞，下面我们将详细分析这一原理。

1. Windows的DLL加载机制

在Windows操作系统中，应用程序通常会使用**动态链接库（DLL）**来共享代码。一个程序在运行时会加载多个DLL文件来执行某些功能。操作系统会根据一定的规则来查找和加载这些DLL文件。

DLL加载的查找顺序

操作系统会按照一定的顺序查找需要加载的DLL文件，具体顺序如下：

1. 应用程序的当前目录： 操作系统首先会在应用程序所在的目录中查找需要的DLL。如果找到了目标DLL，就会加载它。

2. 系统目录： 接下来，操作系统会查找Windows系统目录（如C:\Windows\System32）中的DLL文件。

3. Windows目录： 如果在系统目录中没有找到DLL，操作系统会检查Windows目录（如C:\Windows）中是否存在该DLL。

4. 路径环境变量中的目录： 如果DLL仍然没有找到，操作系统会检查系统的PATH环境变量所包含的目录。

5. 最后是用户目录或应用程序的其他目录： 操作系统还可能会在其他一些临时目录、用户文件夹等地方查找。

2. DLL侧载的底层原理

DLL侧载攻击利用了上述DLL加载顺序中的漏洞。攻击者通过在应用程序的查找路径中放置恶意的DLL文件，迫使操作系统加载这些恶意DLL，而不是加载原本的合法DLL文件。详细过程如下：

1. 找到目标应用程序的DLL依赖关系

攻击者首先会分析目标应用程序，确定它依赖于哪些DLL文件。通过工具（如Dependency Walker）可以查看程序的动态链接库依赖关系图，了解程序启动时加载了哪些DLL文件。

2. 伪造恶意DLL

攻击者会编写恶意DLL，通常这个DLL的功能是执行恶意代码或进行信息窃取等。为了能够成功实施攻击，恶意DLL的名称必须与目标程序依赖的合法DLL名称相同。

3. 放置恶意DLL文件

一旦攻击者确认了合法的DLL名称，他们会将恶意DLL文件放置在应用程序会首先查找的目录中，例如应用程序的当前工作目录。攻击者可能通过社交工程手段让受害者将恶意DLL文件放入正确的路径，或者直接在软件安装过程中捆绑恶意DLL。

4. 操作系统加载恶意DLL

当目标程序启动时，操作系统按照前述的查找顺序加载DLL文件。由于恶意DLL的名称与合法DLL相同，并且它被放置在程序的工作目录（或系统的其他优先搜索路径）中，操作系统会加载恶意DLL文件，而不是合法的DLL。

5. 执行恶意代码

一旦恶意DLL被加载，它会执行其中包含的恶意代码。攻击者可以通过这种方式控制受害者的程序，进行任意操作，比如远程代码执行、信息窃取、系统权限提升等。

3. 为何DLL侧载攻击有效？

DLL侧载攻击之所以有效，主要是因为以下几个因素：

1. DLL查找路径的问题

Windows的DLL查找机制有时会优先加载当前工作目录中的DLL文件，而不是系统目录中的文件。如果一个应用程序依赖于多个DLL，并且其中一个DLL文件能够被恶意替换，攻击者就可以通过将恶意DLL文件放入程序的工作目录，利用DLL侧载进行攻击。

2. 应用程序没有验证DLL的来源

很多应用程序在加载DLL时，并不会验证DLL的完整性或来源，尤其是在使用默认查找路径时。如果攻击者能控制程序的工作目录或使用其他漏洞，便能够成功注入恶意DLL。

3. 数字签名和完整性检查的缺失

如果程序没有启用代码签名验证或完整性检查机制，攻击者可以将恶意DLL伪装成合法的DLL文件进行加载，而不会被系统或应用程序所察觉。

4. 路径污染

如果程序使用了环境变量或临时目录等不安全的路径作为DLL查找路径，攻击者便可以在这些目录中放置恶意DLL，导致DLL侧载。

4. 如何避免DLL侧载攻击？

为了防止DLL侧载攻击，开发者和系统管理员可以采取以下措施：

1. 使用完全限定路径

程序在加载DLL时应使用绝对路径（即指定DLL的完整路径），避免操作系统使用默认的查找路径。

2. 限制DLL加载路径

限制应用程序只从可信的目录加载DLL，防止从不安全的路径（如用户目录、临时文件夹等）加载。

3. 启用数字签名和验证

对所有加载的DLL进行数字签名验证，确保它们来自可信的源。这可以防止攻击者将伪造的DLL文件注入系统。

4. 使用应用程序控制机制

Windows提供了 AppLocker 和 Windows Defender Application Control (WDAC) 等工具，允许管理员限制哪些应用程序和DLL能够在系统上运行。

5. 禁用不必要的功能

对于不需要加载外部DLL的应用程序，禁用动态链接库的加载功能或使用其他替代方案（如静态链接）。

6. 及时更新和修补

定期更新应用程序和操作系统，修补可能存在的安全漏洞，减少攻击面。

DLL侧载攻击利用了Windows操作系统在加载DLL文件时的查找机制漏洞。攻击者通过将恶意DLL文件放置在程序查找路径中的优先位置，迫使操作系统加载恶意代码。为了避免DLL侧载攻击，开发者和系统管理员应采用路径验证、数字签名、代码完整性检查等多重安全措施，确保系统的安全性。

---

DLL侧载（DLL Side-Loading）架构

DLL侧载（DLL Side-Loading）是一种针对Windows操作系统的攻击手段，攻击者通过利用操作系统加载动态链接库（DLL）时的机制漏洞，将恶意DLL注入到目标应用程序中。以下是DLL侧载攻击的架构分析，详细说明了攻击过程、关键技术点及防护措施。

1. 攻击架构概述

DLL侧载攻击的核心架构涉及到以下几个主要组件和步骤：

• 攻击者控制的恶意DLL文件：攻击者通过精心设计一个恶意DLL文件，伪装成一个合法的DLL，目标是让该恶意DLL在加载时执行攻击者的指令。

• 目标应用程序：攻击者选择一个存在DLL侧载漏洞的应用程序作为攻击目标，这些程序可能在某些情况下加载外部DLL。

• 操作系统的DLL加载机制：Windows操作系统根据一定的搜索路径加载应用程序需要的DLL文件。操作系统会依照DLL查找顺序逐一检查路径，直到找到匹配的DLL文件为止。如果恶意DLL位于高优先级路径（如当前目录），就会被加载并执行。

• 漏洞利用：通过操控DLL加载路径或者修改程序工作目录，攻击者使得恶意DLL文件被加载并执行，从而实现代码注入、权限提升或其他恶意行为。

---

2. DLL加载过程（Windows操作系统）

Windows操作系统在加载应用程序的依赖DLL时，会按照一系列的优先级路径进行搜索。具体路径查找顺序如下：

1. 当前工作目录：操作系统首先在运行的应用程序所在的目录查找所需的DLL文件。
2. 系统目录（如C:\Windows\System32）：如果在当前目录中找不到，操作系统会查找系统目录中的DLL。
3. Windows目录（如C:\Windows）：如果在系统目录中找不到，操作系统会进一步查找Windows目录中的DLL。
4. PATH环境变量中的目录：操作系统会查找环境变量PATH中指定的目录。
5. 其他用户目录和临时目录：最终，操作系统还可能在用户目录、临时文件夹等位置查找。

攻击者可以利用这些查找路径的特点，通过将恶意DLL放置在优先级较高的位置（如当前工作目录），迫使目标应用程序加载恶意DLL。

---

3. DLL侧载攻击的架构细节

3.1 步骤1：分析目标应用程序

攻击者首先要分析目标应用程序，确定它依赖哪些DLL文件。使用一些工具（如Dependency Walker、Process Monitor等）可以帮助识别应用程序在运行时加载的DLL文件。

3.2 步骤2：伪造恶意DLL

攻击者编写一个恶意DLL，通常这个DLL的行为包括：

• 执行恶意操作（如后门程序、远程控制）。
• 向受害者系统注入恶意代码。
• 执行窃取敏感信息等行为。

恶意DLL需要与目标应用程序依赖的合法DLL具有相同的名称和导出符号，以确保其能够正确加载并运行。

3.3 步骤3：将恶意DLL文件放置到目标路径

攻击者将恶意DLL放置在目标应用程序查找DLL的路径中，通常是应用程序的工作目录。这样，当目标程序启动时，操作系统会先在该目录中查找DLL，导致加载到恶意DLL。

如果攻击者能访问到目标程序的文件夹或能够利用漏洞来篡改该程序的工作目录，就能够轻松实现DLL侧载。

3.4 步骤4：程序加载恶意DLL

当目标应用程序启动时，它会按照DLL加载路径查找所依赖的DLL。由于恶意DLL与合法DLL同名且位于当前目录中，操作系统会加载这个恶意DLL，而非合法的DLL。

3.5 步骤5：执行恶意代码

恶意DLL成功加载后，DLL中的恶意代码会被执行。此时，攻击者可以利用恶意DLL执行各种恶意操作，如远程控制、权限提升、信息窃取等。

---

4. 关键技术点

4.1 路径查找机制

Windows的DLL加载机制，尤其是当前目录优先的查找顺序，是DLL侧载攻击的核心漏洞。攻击者利用这个机制可以控制DLL加载的路径，进而注入恶意代码。

4.2 DLL重定向

攻击者不仅仅可以利用当前目录，还可以通过修改环境变量或使用注册表等方式，使得恶意DLL的加载路径得以修改或重定向。

4.3 合法性验证缺失

很多应用程序在加载外部DLL时没有进行合法性验证，尤其是在未启用代码签名验证的情况下，这为DLL侧载提供了可乘之机。

4.4 系统路径污染

Windows的系统路径、临时目录以及用户文件夹等地方都有可能被用于DLL的加载，攻击者可以在这些目录中放置恶意DLL文件，达到侧载的目的。

---

5. 防护措施

为了防止DLL侧载攻击，可以采取以下防护措施：

5.1 使用完整路径加载DLL

开发者应当使用完整路径来加载DLL，而不是依赖操作系统的默认路径查找机制。避免使用相对路径或仅依赖当前工作目录来查找DLL。

5.2 启用数字签名验证

启用代码签名和数字证书验证，确保程序加载的DLL来源可靠，防止恶意DLL伪装成合法DLL进行加载。

5.3 限制加载路径

应用程序应当严格限制只能从特定的目录加载DLL，防止从不安全的路径（如临时目录、用户文件夹等）加载DLL。

5.4 使用AppLocker和WDAC

Windows提供了AppLocker和**Windows Defender Application Control (WDAC)**等工具，可以限制哪些应用程序和DLL能够在系统上运行。通过这些工具，管理员可以有效防止不受信任的DLL文件加载。

5.5 最小化DLL依赖

尽量避免应用程序依赖外部DLL，使用静态链接或者其他更安全的方式来处理外部代码依赖，减少DLL侧载攻击的风险。

5.6 定期安全更新和审计

保持操作系统和应用程序的更新，及时修补已知的安全漏洞。此外，定期进行安全审计和监控，检测是否有不正常的DLL加载行为。

DLL侧载攻击是一种利用Windows操作系统DLL加载机制漏洞的攻击方式，通过在应用程序的DLL查找路径中放置恶意DLL，攻击者能够执行恶意代码并利用目标应用程序进行进一步的攻击。理解DLL加载机制、识别潜在的安全漏洞并采取防护措施，对于降低此类攻击的风险至关重要。开发人员和系统管理员需要结合完整路径加载、代码签名、路径限制等多重措施来有效防范DLL侧载攻击。

---

 

标签：侧载,应用程序,恶意,攻击者,DLL,加载
From： https://www.cnblogs.com/suv789/p/18657611