سوءاستفاده مهاجمان از OneDrive.exe برای اجرای کد مخرب با روش DLL Sideloading
پژوهشگران امنیتی اخیراً روشی پیچیده از حمله را شناسایی کردهاند که از برنامهی OneDrive مایکروسافت برای اجرای کد مخرب بدون شناسایی توسط سیستمهای امنیتی استفاده میکند.
این حمله که با نام DLL Sideloading شناخته میشود، از نحوهی بارگذاری فایلهای کتابخانهای (DLL) در ویندوز سوءاستفاده میکند تا نرمافزارهای قانونی مانند OneDrive را وادار به اجرای کد مهاجم کند.
روش مذکور تهدیدی جدی برای سازمانها و محیطهای سازمانی بزرگ محسوب میشود، زیرا OneDrive معمولاً بر روی هزاران سیستم نصب و فعال است.
درک نحوهی حمله (Understanding the Attack Vector)
در ویندوز، هنگام اجرای یک برنامه، سیستمعامل برای یافتن فایلهای مورد نیاز مانند version.dll در مسیرهای مختلف جستوجو میکند.
ابتدا پوشهی برنامه را بررسی میکند و سپس به سراغ مسیرهای سیستمی میرود.
مهاجمان از این رفتار پیشبینیپذیر سوءاستفاده میکنند. آنها نسخهی جعلی و مخربی از فایل version.dll را در همان مسیر OneDrive.exe قرار میدهند.
در نتیجه، هنگام اجرای OneDrive، سیستم به اشتباه DLL مخرب را بارگذاری کرده و کد مهاجم در قالب فرآیند قانونی OneDrive.exe اجرا میشود.
چرا این روش خطرناک است؟
کد مخرب در قالب فرآیندی که توسط مایکروسافت امضا شده و مورد اعتماد سیستمهای امنیتی است اجرا میشود.
بنابراین ابزارهای امنیتی مانند EDR یا آنتیویروسها معمولاً هیچ واکنش مشکوکی نشان نمیدهند.
مهاجم از امتیازات و دسترسیهای گستردهی OneDrive استفاده میکند تا به شبکه متصل شود، فایلها را کپی یا رمزگذاری کند، یا حتی کدهای دیگری را اجرا نماید.
استفاده از DLL Proxying برای ماندگاری و پنهانسازی
در نمونهی مفهومی این حمله (Proof of Concept)، مهاجمان از تکنیکی به نام DLL Proxying استفاده کردند.
در این روش، DLL مخرب علاوه بر اجرای کد مهاجم، توابع اصلی DLL واقعی را نیز بازتاب میدهد تا برنامه به درستی کار کند و هیچ خطایی بروز نکند.
به این ترتیب، OneDrive بدون مشکل اجرا میشود و کد مهاجم نیز در پسزمینه، بیصدا و ماندگار عمل میکند.
تکنیکهای پیشرفته در حمله
مهاجمان در این حمله از API Hooking و Vectored Exception Handling (VEH) نیز بهره بردهاند.
به جای تغییر مستقیم در کدهای حافظه (که ممکن است توسط سیستم شناسایی شود)،
مهاجم تابعهای سیستمی مانند CreateWindowExW را هدف قرار میدهد و مسیر اجرای آن را به کد دلخواه خود هدایت میکند.
در نسخهی آزمایشی، پس از تزریق DLL، کد مخرب دو ثانیه صبر میکند و سپس فرآیندی جدید (مثل notepad.exe) را با امتیازات بالا اجرا میکند.
در دنیای واقعی، این مرحله میتواند شامل اجرای باجافزار، سرقت اعتبارنامهها یا برقراری ارتباط با سرور کنترل مهاجم باشد.
تأثیرات سازمانی
این روش حمله برای سازمانهایی که از OneDrive برای همگامسازی و اشتراک فایلها استفاده میکنند بسیار خطرناک است.
زیرا OneDrive معمولاً دسترسیهای سطح بالا و اتصال دائمی به شبکه دارد.
اگر مهاجم بتواند کد خود را در بستر OneDrive اجرا کند، میتواند:
-
به فایلهای همگامسازیشده دسترسی پیدا کند،
-
دادههای حساس را استخراج کند،
-
پایداری در سیستم ایجاد نماید،
-
و حتی به سایر سیستمها در شبکه نفوذ کند.
در محیطهای کار ترکیبی (Hybrid Work) که کارکنان از دستگاههای شخصی و سازمانی به طور همزمان استفاده میکنند،
احتمال سوءاستفاده از این روش بسیار بالاتر است.
راهکارهای دفاعی و پیشگیری
برای کاهش خطر این نوع حملات، سازمانها باید مجموعهای از کنترلهای امنیتی را پیادهسازی کنند:
-
نظارت بر فایلهای غیرمنتظره DLL در مسیرهای برنامهها
-
بهویژه در پوشههایی که OneDrive.exe یا سایر برنامههای سیستمی قرار دارند.
-
-
محدود کردن مسیرهای بارگذاری DLL
-
از Group Policy برای تعریف مسیرهای معتبر DLL استفاده شود.
-
-
فعالسازی File Integrity Monitoring (FIM)
-
تا هرگونه تغییر در فایلهای حساس فوراً شناسایی شود.
-
-
تحلیل رفتار فرآیندها (Behavioral Analysis)
-
شناسایی ایجاد فرآیندهای غیرعادی توسط برنامههای مورد اعتماد مانند OneDrive.exe.
-
-
بهروزرسانی مستمر و کنترل نسخهها
-
نسخههای قدیمیتر OneDrive ممکن است در برابر این نوع حملات آسیبپذیرتر باشند.
-
جمعبندی
حملهی DLL Sideloading که از OneDrive.exe برای اجرای کدهای مخرب استفاده میکند،
نمونهای از ترکیب مهندسی معکوس، پنهانسازی سطح بالا و سوءاستفاده از اعتماد نرمافزارهای امضاشده است.
این حمله نشان میدهد که حتی برنامههای شناختهشده و قانونی نیز میتوانند به دروازهای برای نفوذ به شبکههای سازمانی تبدیل شوند.
بنابراین، امنیت تنها با اعتماد به نامهای بزرگ تأمین نمیشود؛ بلکه نیازمند نظارت، تحلیل رفتاری و پایش دقیق همهی فرآیندهاست.
دیدگاه ها بسته هستند