pro[zind]

DLL Side Loading & Process Injection : comment ça marche ?

dans Bloc-notes

Par Sebastien Meriot - DEMO Very Tech Trip

DLL Side Loading & Process Injection : comment ça marche ?

Les logiciels malveillants modernes utilisent aujourd'hui quasiment tous ces deux techniques. La première vise à changer le comportement d'un exécutable en venant modifier une DLL chargée dynamiquement. Cette DLL viendra alors procéder à l'altération en mémoire d'un processus en cours d'exécution pour changer son comportement et le faire exécuter du code malveillant. C'est ainsi un excellent moyen d'évader les antivirus qui ne se doutent pas qu'un processus légitime, signé par un éditeur de confiance, puisse exécuter du code malveillant.

Cette session de live coding sera l'occasion de rentrer dans le détail de ces deux techniques en implémentant les deux techniques. L'antivirus nous détectera-t-il ?


Notes personnelles

  • Échapper a la détection des antivirus
  • Injection de process?
    • voir `MITRE|ATT&CK
    • utiliser un process de confiance: explorer.exe sous windows, un antivirus, etc.
  • Example: calculatrice windows
    • win achi: loader / runing process
    • side loading: 2 soft de confiance sont utilisé pour créer un thread
  • demo
  • Contre messure (windows): config sysmon pour le SIEM
    • SwiftOnSecurity Config
    • TrustedSec Guide