Что может получить процесс от прикосновения к DLL другого приложения?
Вот скриншот Process Monitor, который показывает, что процесс AliIM.exe что-то делает с DLL TeamViewer
https://users uper.ru/images/6891eb63d8b0ad3f898f7fb90dfff67341a8c77d.png
Поскольку TeamViewer - это приложение для удаленного управления, у меня есть некоторые проблемы с безопасностью, получат ли они эти учетные данные TeamViewer? Процесс не запрашивает привилегии администратора при запуске.
Журнал монитора процессов в формате csv с включенной функцией "Показать процесс и активность потока".
"Time of Day","Process Name","PID","Operation","Path","Result","Detail"
"7:59:16.2471434 PM","AliIM.exe","30332","Process Start","","SUCCESS","Parent PID: 11168, Command line: ""C:\Program Files (x86)\AliWangWang\AliIM.exe"" /run:desktop, Current directory: C:\Program Files (x86)\AliWangWang\, Environment:
"7:59:16.2471586 PM","AliIM.exe","30332","Thread Create","","SUCCESS","Thread ID: 29216"
"7:59:16.2940980 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"
"7:59:16.2941329 PM","AliIM.exe","30332","QueryBasicInformationFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","CreationTime: 10/22/2013 10:47:30 PM, LastAccessTime: 8/14/2014 2:57:05 PM, LastWriteTime: 8/4/2014 3:36:25 PM, ChangeTime: 8/14/2014 2:57:14 PM, FileAttributes: A"
"7:59:16.2941485 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""
"7:59:16.2942881 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Data/List Directory, Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a, OpenResult: Opened"
"7:59:16.2943492 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "
"7:59:16.2944498 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","SyncType: SyncTypeOther"
"7:59:16.2945615 PM","AliIM.exe","30332","Load Image","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Image Base: 0x6cff0000, Image Size: 0x1a000"
"7:59:16.2945812 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""
"7:59:16.2948406 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\VERSION.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"
"7:59:16.2960652 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\CRTDLL.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"
2 ответа
То, что вы наблюдаете, может быть установкой для атаки, называемой DLL Injection, процессом, с помощью которого вредоносная программа может форсировать выполнение кода в другом процессе, в данном случае teamviewer. Это затем позволяет атаковать на занимаемые процессы, занимающие место в памяти, или изменять его стандартное поведение.
Нет простого способа сказать, что он хочет сделать, но я предполагаю, что со времени его Alibaba он хочет иметь возможность видеть информацию о соединении внутри зашифрованного туннеля, который Teamviewer использует для защиты своего соединения от eavsdropping. If teamviewer stores crypto keys in ram (as it likely), the program may have access to those keys, or even be able to observe login actions in realtime.
Может быть, есть и другие объяснения такого поведения.
Обычный поиск DLL - со случайно тем же именем
Имея только эту трассировку, мы видим, что процесс ищет три библиотеки в папке TeamViewer: tv_w32.dll, VERSION.dll (MS Helper DLL Windows) и CRTDLL.dll (MS C Runtime).
Может быть, там работает регулярный поиск DLL, следуя порядку поиска. И путь TeamViewer, кажется, находится в порядке поиска. Зачем еще AliIM.exe искать две библиотеки MS в этой папке?
Если это так, то процесс просто ищет файл tv_w32.dll и случайно в TeamViewer есть dll с таким именем. (На азиатских страницах, кажется, обсуждается tv_w32.dll, который не является частью TeamViewer).
Любая ошибка / атака
Поскольку мы знаем, что AliIM.exe является вредоносной программой, это может быть атака. В этом случае AliIM.exe может потребоваться "только" некоторая функциональность TeamViewer. Он загружает DLL и использует внутренние функции TeamViewer для собственных целей.
Такие инструменты, как Dependency Walker и Rohtap API Monitor, помогут его отследить.