stihl не предоставил(а) никакой дополнительной информации.
TeamViewer 5
Для просмотра ссылки Войдиили Зарегистрируйся
Значится имеем "эксплоит" нацеленный на dwmapi.dll
Но по сути мы можем использовать хиджакинг почти с любым легитимным софтом
Первым делом проверяются известные длл:
Затем проверяется папка где находится ехешник
Без длинной тягомотины:
Берем практически любой белый софт
Смотрим импорты
Прогоняем дебагером на LoadLibraryA+W
Составляем список загружающихся дллок
Затем исключаем из него те, что есть в KnownDlls и получаем достаточно объемный список дллок для хиджака
Залезаем в дебагер, ставим бряки на все экспортируемые функции всех дллок, пробегаем код и составляем список вызываемых функций
В спойлере помечено через "->"
TeamViewer 5 dlls
Далее пишем дллку и выкидываем на экспорт самопальную функцию(можно еще и с аргументами, и сделать их проверку)
Еще вариант: в дллмейн грузить используемую белым софтом длл - например gdi32.dll
затем ставить EAT хук на условный GetStockObject
-> белое ПО вызвав функцию из gdi32 вызовет наш код
А запуск длл без этого легит софта или через rundll32 не запустит пейлоад
Для просмотра ссылки Войди
Значится имеем "эксплоит" нацеленный на dwmapi.dll
Но по сути мы можем использовать хиджакинг почти с любым легитимным софтом
Первым делом проверяются известные длл:
Затем проверяется папка где находится ехешник
Без длинной тягомотины:
Берем практически любой белый софт
Смотрим импорты
Прогоняем дебагером на LoadLibraryA+W
Составляем список загружающихся дллок
Затем исключаем из него те, что есть в KnownDlls и получаем достаточно объемный список дллок для хиджака
Залезаем в дебагер, ставим бряки на все экспортируемые функции всех дллок, пробегаем код и составляем список вызываемых функций
В спойлере помечено через "->"
TeamViewer 5 dlls
Код:
// version.dll -> GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueW
// TeamViewer_Resource.dll
// wtsapi32.dll
// msimg32.dll
// dwmapi32.dll
// userenv32.dll
// tv.dll
// Secur32.dll
// Netapi32.dll
// wintrust.dll -> WinVerifyTrust
// iphlpapi.dll
// winsta.dll
// uxtheme.dll
// SHFolder.dllДалее пишем дллку и выкидываем на экспорт самопальную функцию(можно еще и с аргументами, и сделать их проверку)
Еще вариант: в дллмейн грузить используемую белым софтом длл - например gdi32.dll
затем ставить EAT хук на условный GetStockObject
-> белое ПО вызвав функцию из gdi32 вызовет наш код
А запуск длл без этого легит софта или через rundll32 не запустит пейлоад