DLL Pre-Load 공격

DLL 로드 우선 순위를 이용해 악성 DLL등이 사전 로드 되게 하는공격

DLL 로드 우선 순위

LoadLibrary, LoadLibraryEx 로드 우선 순위

1. DLL이 로드하는 프로그램이 위치한 디렉토리
2. 시스템 디렉토리
3. 16비트 시스템 디렉토리
4. Windows 디렉토리
5. 현재 작업 디렉토리(CWD)
6. PATH 환경 변수에 나열된 디렉토리

SearchPath 로드 우선 순위

1. DLL이 로드하는 프로그램이 위치한 디렉토리
2. 현재 작업 디렉토리(CWD)
3. 시스템 디렉토리
4. 16비트 시스템 디렉토리
5. Windows 디렉토리
6. PATH 환경 변수에 나열된 디렉토리

위와 같은 우선순위에서 악성 파일을 로드하는 DLL보다 높은곳에 위치하게 되면 악성 DLL이 로드 된다.

보안책

절대경로 사용

HMODULE handle = LoadLibrary("schannel.dll"); < 취약

HMODULE handle = LoadLibrary("c:\\windows\\system32\\schannel.dll"); < 해결책