DLLHijackAuditKit


DLLHijackAuditKit è un tool che permette di analizzare il prorpio sistema per capire se ci sono dei programmi sensibili al DLL hijacking.

Chiariamo subito che è un tool che richiede un minimo di destrezza e non dovrebbe essere utilizzato da utenti alle prime armi. Procedete a vostro personale rischio!

Una volta scompattato il contenuto dell’archivio in una directory (che chiameremo directory di lavoro), scaricare Process Monitor di Mark Russinovich e Bryce Cogswell e copiare procmon.exe nella directory di lavoro. DLLHijackAuditKit tenta di scaricare automaticamente Process Monitor, ma da me non è riuscito, quindi tanto vale risparmiare tempo e fare a mano la procedura.

Prima di iniziare, verificare l’associazione dei file .JS; se avete UltraEdit, dovete dire al programma di non aprire automaticamente i file. Per fare ciò basta andare nella configurazione dell’editor e cancellare l’associazione dei file .JS; il programma ripristinerà l’associazione originale a Microsoft Windows Based Scripting Host.

Avviare 01_StartAudit.bat che aprirà e tenterà di chiudere subito dopo molti programmi del vostro sistema per raccogliere i dati. Alcuni programmi potrebbero rimanere aperti e vanno chiusi a mano; il processo dura almeno un quarto d’ora, ma dipende molto dal PC.

Terminato il primo step, si salvano i dati raccolti da Process Monitor in formato CSV e si avvia 02_Analyze.bat. L’analisi richiede molto meno tempo e alla fine il risultato sarà qualcosa tipo

Esempio di output di DLLHijackAuditKit v2

Microsoft ha rilasciato un tool che permette di creare una blacklist di posizioni da cui non si possono caricare le DLL, mitigando il problema del DLL hijacking. Le informazioni sul tool si trovano nell’articolo More information about the DLL Preloading remote attack vector, mentre il programma vero e proprio si scarica da A new CWDIllegalInDllSearch registry entry is available to control the DLL search path algorithm.

, ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *