如何利用DLL注入繞過Win10新增加的勒索軟體保護

微軟在Windows 10操作系統中加入了一個新的勒索軟體保護功能——Controlled Folder Access（受控文件夾訪問），該功能可用於預防受保護的文件夾中的文件被未知的程序修改。

在上周舉行的DerbyCon安全會議上，安全研究人員展示了「勒索軟體用DLL注入來繞過Controlled Folder Access的勒索軟體保護功能」。

用DLL注入繞過Controlled Folder Access

Controlled Folder Access是win10引入的保護文件夾和文件不被白名單外的應用修改的特徵。白名單指用戶指定或微軟默認的一些應用程序列表。

explorer.exe程序就在Controlled Folder Access的白名單列表中，安全研究人員Soya Aoyama找出一種將惡意DLL注入Explorer來繞過Controlled Folder Access的方式。因為Explorer在白名單里，所以當DLL注入後，Explorer啟動時就可以繞過勒索軟體保護功能。

當explorer.exe啟動時，會載入HKEY_CLASSES_ROOT*shellexContextMenuHandlers註冊表中的DLL，如下圖所示：

HKEY_CLASSES_ROOT樹是HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER中的註冊表信息的合集。在執行合併時，Windows會給出HKCU樹中的優先順序。

也就是說，如果有key存在HKCU中，其優先順序就高於HKLM中的相同key，也會最終合併到HKEY_CLASSES_ROOT樹中。關於合併的更多說明可參見https://docs.microsoft.com/en-us/windows/desktop/sysinfo/hkey-classes-root-key。

默認情況下，explorer啟動時會從HKEY_LOCAL_MACHINESOFTWAREClassesCLSID\InProcServer32 key中載入Shell.dll。為了將惡意DLL載入到explorer.exe中，研究人員創建了一個HKCUSoftwareClassesCLSID\InProcServer32 key，然後將其默認值修改為惡意DLL。

當Explorer.exe進程被kill掉和重啟時，惡意DLL就會載入到explorer.exe中。下圖是DLL注入到explorer.exe的示例：

問題的關鍵是上述動作不僅繞過了Controlled Folder Access，還繞過了Windows defender。根據研究人員的測試，Avast, ESET, Malwarebytes Premium, McAfee的勒索軟體保護都沒有檢測到上述行為。

微軟響應

研究人員Aoyama已將該漏洞報告和可以繞過Controlled Folder Access的POC通報給了微軟SRC。但微軟並不覺得這是一個需要修復的漏洞，具體回應為：

如果說你的發現是正確的話，該報告預測攻擊者已經擁有了目標賬戶的訪問許可權，然後通過修改註冊表注入DLL。如果只有寫入HKCU的許可權，是不能影響其他用戶的。因此，這不屬於許可權提升，因為修改註冊表注入後和注入前對目標設備和系統的訪問許可權是相同的。

但勒索軟體加密受害者計算機時並不需要進行許可權提升。唯一需要的是清除Volume Shadow Copy（卷影拷貝），惡意軟考開發者可以用其他的漏洞和方法來執行vssadmin（卷影複製服務，用於卷影複製服務的命令行介面）。

通過繞過Controlled Folder Access的勒索軟體保護功能，惡意軟體可以在沒有管理員許可權的情況下安裝。這可能正是危險和攻擊的開始。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！