Sicherheitsforscher auf Github haben eine raffinierte Icon basierte Methode zur DLL-Injektion in den Windows Explorer aufgedeckt, die das Ändern von Symbolen in Verzeichnissen ausnutzt. Diese Technik, die ohne die herkömmlichen DLL-Injektions-APIs auskommt, könnte von Cyberkriminellen genutzt werden, um Malware zu verbreiten oder Sicherheitsmaßnahmen zu umgehen.
Der Prozess beginnt mit der Erstellung eines Ordners im temporären Verzeichnis des Systems. Über die Funktion SHObjectProperties
werden die Eigenschaften des Ordners geöffnet. Um den Handle des Fensters unabhängig von der Systemsprache zu erhalten, wird die Funktion EnumWindows
zusammen mit einer Callback-Funktion verwendet, die nach dem eindeutigen Ordnernamen in allen offenen Fenstern sucht.
Durch das Eigenschaftenfenster gelangt man zum Dialogfeld „Symbol ändern“, dessen Handle ebenfalls mit EnumWindows
abgerufen wird. Anschließend wird der Pfad des Symbols zu einer DLL geändert, die fälschlicherweise die Erweiterung .ico
trägt. Dies veranlasst den Explorer, die DLL zu laden, sobald der OK-Button gedrückt wird.
Tatsächlich handelt es sich bei dem „Symbol“ um eine einfache DLL-Datei, die mit der Erweiterung .ico
versehen wurde und die Rechner-App öffnet. Dies wurde mittels des Tools Resource Hacker erreicht, um die Icon-Ressource hinzuzufügen.
Die Technik wurde unter zwei verschiedenen Versionen von Windows 10 sowie unter Windows 11 getestet. Interessanterweise wurde das in der DLL gespeicherte Symbol unter Windows 10 nicht angezeigt, wenn die Erweiterung zu .ico
geändert wurde. Unter Windows 11 jedoch erschien das Symbol wie ein normales Icon im Explorer, führte aber zu einem Fehler, wenn es in der Foto-App geöffnet wurde.
Diese Technik bietet eine sehr unauffällige Möglichkeit, eine DLL in den Explorer-Prozess einzuschleusen, da sie nicht die üblichen DLL-Injektions-APIs verwendet. Es entstehen lediglich zwei kurze Pop-ups, die jedoch nicht stark stören. Daher könnte sie als Technik zur Umgehung von Antiviren-Software durch Bedrohungsakteure genutzt werden, um Code durch den legitimen Explorer-Prozess auszuführen oder ein UMD-Rootkit zu laden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: