اجرای کد مخرب از طریق RDP

یک تکنیک که به مهاجمین اجازه می‌دهد یک تاکتیک حمله تحت عنوان بارگذاری جانبی DLL، کدهای مخرب را از طریق پروتکل دسترسی از راه دور دسکتاپ (RDP) اجرا کنند.بارگذاری جانبی DLL زمانی اتفاق می‌افتد که یک برنامه به‌صورت نادرست یا مبهم، یک فایل DLL موردنیاز را مشخص می‌کند.

RDP
RDP


درنتیجه این امر، برنامه در معرض آسیب‌پذیری قرار می‌گیرد که ممکن است در آن‌یک DLL ناخواسته در برنامه بارگذاری شود. مهاجمین می‌توانند از برنامه‌های قانونی که در برابر بارگذاری جانبی (side-loading) آسیب‌پذیر هستند، سوءاستفاده کنند تا DLL مخرب را بارگیری کرده و از شناسایی هرگونه اقدام مخرب تحت پوشش یک سیستم یا فرآیند پردازشی قابل‌اعتماد، جلوگیری کنند.

کاربران برای اجرای RDP، به MSTSC در ویندوز دسترسی پیدا می‌کنند تا بتوانند با استفاده از یک اتصال شبکه، یک کامپیوتر از راه دور یا یک ماشین مجازی را کنترل کنند. MSTSC به‌عنوان‌ یکی از منابع خود به فایل mstscax.dll متکی است. پژوهشگران متوجه شدند كه MSTSC اجرای با تأخیر (delay-loading) فایل mstscax.dll را به‌گونه‌ای انجام می‌دهد كه منجر به سوءاستفاده مهاجمین و دور زدن كنترل‌هاي امنيتي می‌شود. به گفته پژوهشگران، mstscax.dll بدون بررسی یکپارچگی برای تأیید صحت کد کتابخانه، بارگیری می‌شود.

دو راهکار برای بهره‌برداری از این روش شناسایی‌شده است:

مهاجم می‌تواند فایل mstscax.dll را در پوشه c:\windows\system۳۲، که به سطح دسترسی محلی نیاز داد، قرار دهد. بیشتر مهاجمین توسط تکنیک‌های مختلف سطح دسترسی محلی را به دست می‌آورند، بنابراین می‌توانند از این روش نیز استفاده کنند و برای دور زدن راهکارهای امنیتی و حملات آتی از آن استفاده کنند.

در سناریوی دیگر، یک مهاجم می‌تواند mstsc.exe را در یک پوشه خارجی کپی کند، فایل DLL خود را در همان پوشه قرار دهد و mstsc.exe را ازآنجا اجرا کند. این امر به سطح دسترسی ادمین نیاز ندارد. مایکروسافت می‌گوید mstsc نباید در خارج از پوشه c:\windows\system۳۲ استفاده شود، بااین‌حال الزامی برای این موضوع پیاده‌سازی نشده است.

هر دو سناریو به مهاجمین اجازه می‌دهند تا کنترل‌های امنیتی را دور بزنند، زیرا کد مخرب در چارچوب mstsc.exe اجرا می‌شود، که یک فایل اجرایی با امضای مایکروسافت است. علاوه بر این، سناریو اول برای مهاجمین پایداری حمله را نیز فراهم می‌کند، زیرا با هر بار اجرای mstsc.exe، کد مخرب نیز اجرا می‌شود.

به این دلیل که اکثر کنترل‌های امنیتی، به دلیل امضای مایکروسافت امنیت فایل mstsc.exe را بررسی نمی‌کنند، مهاجمین می‌توانند از این روش سوءاستفاده و کدهای مخرب خود را با شانس بالای عدم شناسایی، اجرا کنند.

برای رفع این تهدید، سازمان‌ها می‌توانند استفاده از mstsc.exe را غیرفعال کنند، از کنترل‌های امنیتی برای نظارت بر رفتار غیرعادی و مخرب mstsc.exe استفاده کنند، و به‌صورت دستی فایل mstscax.dll را اعتبارسنجی کنند.