前言

DLL(Dynamic Link Library)文件为动态链接库文件，又称"应用程序拓展"，是软件文件类型。在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。一个应用程序可使用多个DLL文件，一个DLL文件也可能被不同的应用程序使用，这样的DLL文件被称为共享DLL文件。

由于共享DLL的特性，只要攻击者能够将恶意的DLL放在优先于正常DLL所在的目录，就能够欺骗系统优先加载恶意DLL，来实现"劫持"。

DLL劫持应用比较广泛，比如木马后门的启动、破解程序的内存补丁、外挂插件的注入以及加密狗的模拟等。之所以DLL劫持技术深受攻击者的喜爱，主要是因为该技术可以有效的躲过大部分杀软，并且实现起来技术难度不大。本文将研究可以在大多数 Windows 版本中发生的两种 DLL 劫持，以及如何实现横向移动，包括防御和检测方法。

02

详细说明

“Service Control Manager”（SCM）是windows管理服务的管理器。攻击者可以通过将特殊的DLL文件复制到受信目录下并远程重启服务来利用SCM进行横向移动，不需要创建新服务。因为这些服务在指定路径中不存在的库上调用了 LoadLibrary。允许攻击者将恶意DLL放置在 Windows 原本需要加载的正常DLL库中，并利用其进行横向移动。

攻击者可以利用IKEEXT 和 SessionEnv 这两个默认调用 LoadLibrary的服务，并将恶意代码放在库的PROCESS_ATTACH 块中，重启这两个服务并在远程机器上执行代码。IKEEXT 在启动时将会加载C:\Windows\System32\wlbsctrl.dll， SessionEnv 服务将会从 System32 目录加载 TSMSISrv.dll 和 TSVIPSrv.dll文件。

03

POC

https://github.com/djhohnstein/wlbsctrl_poc

https://github.com/djhohnstein/TSMSISrv_poc

04

利用方法

为了查找包含 DLL 劫持的服务，首先部署了目前仍在支持的常见 Windows 版本：Windows 7、Windows 10、Server 2008、Server 2012 和 Server 2016。

接下来使用 Get-Service 命令收集默认情况下安装在这些机器上的所有服务列表。取这些数据集的交集，生成了一个包含大约 90 个公共服务的列表。

编译初始服务信息后，安装Procmon并使用过滤器搜索：

1. Result=“NAME NOT FOUND”；
2. 路径以“sys”或“dll”结尾；
3. 用户或完整性级别为SYSTEM。

为了更细致的监控这些服务，需要在一定程度上控制它们的启停时间，以便将Procmon 中的信息与正在启动的服务进行关联。解决方案是使用一个简单的 PowerShell for 循环，这样就可以在每次服务重启之间清除事件日志，并通过击键触发每次重启。

用于停止和启动服务的简单 PowerShell 脚本：

https://gist.github.com/djhohnstein/89f82ff9eff298f41351ffbe05065b9e

在停止服务、清除进程监视器日志和重新启动服务的过程中，记录下每个尝试搜索磁盘上不存在的 DLL 的服务，其中有两个服务符合标准，分别是IKEEXT 和 SessionEnv。

4.1 IKEEXT分析与利用

IKEEXT 服务托管 Internet 密钥交换(IKE)和身份验证 Internet 协议(AuthIP)键控模块。这些键控模块用于Internet 协议安全(IPSec)中的身份验证和密钥交换。当服务启动时，它会搜索文件 wlbsctrl.dll，这是该服务可能被恶意利用的第一个地方。

可以看到，svchost*ex.e** 启动 IKEEXT 服务，然后查询 wlbsctrl.dll 文件。

通过查看事件属性的堆栈选项卡，可以清晰地看到 svchost*ex.e** 是如何被调用的，以及哪些文件试图调用wlbsctrl.dll 文件上的 LoadLibrary。这表明 IKEEXT.DLL 直接位于堆栈帧中的 svchost*ex.e** 上方，是进一步分析的完美候选者。

接下来将此文件放入Ghidra并开始分析 IKEEXT.dll。搜索这些 LoadLibrary 调用时，首先查看 PE 导入表。该表定义了磁盘上其他可移植可执行文件 (PE) 中的函数依赖关系。不过在导入表中并没有发现引用 wlbsctrl.dll，经过反思，原因可能是若wlbsctrl.dll被引用， svchost*ex.e** 将不仅搜索 C:\Windows\System32\目录，还会搜索PATH 环境变量中的每个目录（具体参考加载库官方文档）。

接下来在 PE 中搜索“wlbsctrl.dll”字符串。

单击上方的搜索结果时，定位到定义字符串的数据段。右键单击此地址并选择“引用”→“显示对地址的引用”，结果指向了 0x180005ea0 处的一个单一函数。跳转到这个函数，可以看到在变量声明之后，第一个函数调用是LoadLibraryExW，并带有对 wlbsctrl.dll 的路径相关引用。从上面的 Process Monitor 日志中得知，该函数在服务启动期间的某个时刻被调用。因此无需进行更多分析即可构建有效的poc。

该函数调用 LoadLibraryExW 作为其第一个函数调用。要利用此服务，只需将在 PROCESS_ATTACH 上执行操作的精心制作的 DLL 与 IKEEXT.dll 放在同一文件夹中（默认为 C:\Windows\System32\）。然后使用服务控制管理器二进制文件 (sc*ex.e**) 重新启动服务即可。

4.2 SessionEnv 分析和利用

IKEEXT 服务中的利用方法同样适用于SessionEnv 服务，svchost*ex.e** 查询的两个 DLL分别是：TSMSISrv.dll 和 TSVIPSrv.dll。

同样，这些文件不会使用 DLL 搜索顺序规则进行递归搜索，它们必须在调用库 SessEnv.dll 中的某处直接按名称调用。使用如上所述的字符串引用方法，将进入一个按名称引用 TSMSISrv.dll 和 TSVIPSrv.dll 的函数中。

上面突出显示的是 uVar6 变量，很可能是标记为“FunctionRequiringDLL1”的函数的返回代码。另外需要注意，在每个可疑的、易受攻击的 DLL 劫持位置上都会调用此函数。

通过分析反编译的函数调用，可知该函数执行以下操作：

1. 创建一个大小为 264 的缓冲区来保存文件路径；
2. 扩展在函数的第二个参数中传递的缓冲区以填充环境变量，在我们的例子中是 %SYSTEMROOT%；
3. 只要函数调用成功填充缓冲区，就对结果调用 LoadLibraryExW。

因此，要利用此服务来执行代码，我们需要在 %SYSTEMROOT%\System32\ 目录中放置一个名为TSMSISrv.dll 或 TSVIPSrv.dll 的 DLL，用于在 PROCESS_ATTACH 上执行我们的操作。然后使用服务控制管理器停止和启动服务，让服务加载我们制作的 DLL。

05

注意事项

有时除了服务启动的进程之外，其他进程偶尔也会加载被植入的 DLL。此时文件就不能被删除了。这种情况下可以尝试在库上调用远程 free，但这样可能导致远程进程崩溃。也可以尝试在内存中交换内容并通过调用FreeLibrary 替换所有函数。（虽然这样也会导致进程崩溃...）

删除文件的唯一方法是将其移动到另一个位置，例如 APPDATA 文件夹并重新启动。

06

基于主机的防御和检测手段

6.1 配置安全访问控制列表

在 Windows 主机上，每次停止和启动服务时都会触发事件 ID 7036；但是，从版本 8.0 开始，Windows 工作站不再支持这些事件。要启用对这些服务的审计，我们需要配置安全访问控制列表来启用审计所有服务事件日志的功能。步骤如下：

1. 使用 sdshow 检查服务的当前安全描述符；
2. 复制从 sdshow 返回的值并附加“(AU;SAFA;RPWPDTCCLC;;;WD)” ACE；
3. 使用 sdset 从上面创建的值设置服务的描述符。

6.2 配置Exploit Guard

从 Windows 10 开始，Microsoft 引入了 Exploit Guard，允许“管理和缩小应用程序的攻击面”。Exploit Guard 引入了几个新的事件流，其中一个用于非 Microsoft 签名的二进制加载。如果要将此事件（事件 ID 11）应用到svchost*ex.e**，就能够提取 PID 以及将要加载的非 Microsoft 签名 PE 的路径。调整此数据源是一种有效的检测方法。

可以在（https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-exploit-guard/event-views-exploit-guard）找到 Exploit Guard 事件的完整列表。

6.3 审核文件共享服务

Windows 10 及以上版本的另一个检测方法是审核文件共享服务，可以启用该服务来跟踪网络共享上的文件创建事件（共享访问的事件 ID 5140，访问的对象的事件 ID 5145）。审核文件共享服务非常重要，因为许多DLL劫持方法都需要在受信任的 System32 目录中放置一个 DLL。

07

基于网络的检测和防御手段

监控 RPC UUID {367ABB81–9844–35F1-AD32–98F038001003} 在端口 135 上的通信，UUID 表示服务控制管理器。该操作打开一个新的命名管道 SVCCTL，供客户端通过端口445进行通信，以控制所需的服务。

启动和停止服务调用的 SCM RPC 方法如下所示。

启动服务时调用的 SCM RPC 方法。

停止服务时调用的 SCM RPC 方法。

防范DLL劫持

1.修改文件manifest属性，进行定向加载DLL，解决通用系统DLL劫持问题

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<assembly manifestVersion="1.0" xmlns="urn:schemas-microsoft-com:asm.v1">

<file name="winmm.dll" loadFrom="%SystemRoot%\system32\winmm.dll" />

<file name="lpk.dll" loadFrom="%SystemRoot%\system32\lpk.dll" />

<file name="version.dll" loadFrom="%SystemRoot%\system32\version.dll" />

</assembly>

2.在程序运行后，遍历当前路径下的dll，确认MD5和数字签名安全后，再进行后续的加载。