Forensik Windows: DLL Hijacking Pada Servis Distributed Transaction Coordinator (MSDTC)

Di dalam sistem operasi Windows, terdapat satu servis yang dinamakan MSDTC. Servis ini pernah disalahgunakan oleh beberapa penjenayah siber untuk meletakkan perisian jahat mereka dalam bentuk DLL. Kebanyakan jenis serangan sebegini adalah dari jenis Advanced Persistent Threat (APT).

Sebagai contoh dengan meletakkan syarat konfigurasi seperti berikut:
  • Servis MSDTC disetkan sebagai pengguna SYSTEM (asalnya adalah NETWORK SERVICE)
  • Servis MSDTC startup disetkan Automatic (asalnya adalah Manual)

Gambar 1: Menunjukkan Startup type diubah kepada Automatic.

 Gambar 2: Menunjukkan pengubahan servis akan dilaksanakan sebagai SYSTEM.

Maka sebarang fail dengan nama oci.dll yang diletakkan pada directori C:\Windows\System32\ akan dilaksanakan secara automatik apabila servis MSDTC dijalankan.


MELIHAT PUNCA

Apabila melakukan sedikit siasatan untuk melihat mengapa ini berlaku, kita mulakan dengan melihat Windows Registry:
 

 Gambar 3: msdtc.exe akan cuba membaca Windows Registry pada key OracleOciLib.

Dengan menggunakan perkakasan Process Monitor, gambarajah 3 menunjukkan apabila servis MSDTC dimulakan, ia akan cuba membaca registry pada OracleOciLib. Ini akan menyebabkan ia merujuk kepada fail oci.dll walaupun fail ini tidak wujud.

Dalam ujian yang saya lakukan dengan meletakkan fail oci.dll pada direktori System32, ianya telah dibaca oleh servis MSDTC dan melaksankannya serta merta.


Gambar 4: Menunjukkan servis MSDTC akan cuba membaca key name OracleOciLib dengan datanya dirujuk kepada oci.dll. 

Jadinya, servis MSDTC dengan komponen MTxOCI akan cuba membaca 3 tempat iaitu OracleOciLib, OracleSqlLib dan OracleXaLib. Ketiga-tiga tempat ini akan merujukan kepada 3 jenis  fail DLL berlainan. Ini menjadi punca permasalahan ini. Fail tersebut tidak wujud, tetapi boleh disalahgunakan oleh penjenayah siber untuk meletakkan fail-fail jahat mereka.


Gambar 5: Menunjukkan servis MSDTC telah berjaya melaksanakan fail oci.dll.

Maka secara tak langsung, antivirus akan menyangkakan fail ini ialah fail Windows yang sah dengan beroperasi dibawah servis Windows MSDTC.

Sekian, terima kasih.


0 comments:

Post a Comment

My Instagram