T1218.008 - ODBCCONF.exe का उपयोग करके DLL निष्पादन

ODBCConf.exe क्या है?

ODBCConf.exe एक Microsoft Windows उपयोगिता है जिसका उपयोग ओपन डेटाबेस कनेक्टिविटी (ODBC) डेटा स्रोतों को प्रबंधित करने के लिए किया जाता है। ODBCConf.exe आपको अपने कंप्यूटर पर ODBC ड्राइवरों और डेटा स्रोतों को कॉन्फ़िगर और प्रबंधित करने की अनुमति देता है। SQL (स्ट्रक्चर्ड क्वेरी लैंग्वेज) का उपयोग करके विभिन्न डेटाबेस से डेटा तक पहुँचने के लिए ODBC एक मानक API (एप्लीकेशन प्रोग्रामिंग इंटरफ़ेस) है।

ODBCConf.exe आमतौर पर विंडोज इंस्टॉलेशन के "System32" फोल्डर में स्थित होता है, और इसे कमांड प्रॉम्प्ट या रन डायलॉग बॉक्स से एक्सेस किया जा सकता है।

अभिनेता ODBCconf.exe का दुरुपयोग कैसे कर सकते हैं?

धमकी देने वाले कई तरीकों से ODBCConf.exe का दुरुपयोग कर सकते हैं, जिनमें शामिल हैं: मैलवेयर पर्सिस्टेंस, डेटा एक्सफिल्ट्रेशन, क्रेडेंशियल चोरी, दुर्भावनापूर्ण सॉफ़्टवेयर निष्पादन, आदि
।

Calc.exe निष्पादित करने के लिए एक DLL बनाना?

निम्नलिखित सी++ कोड को डीएलएल के रूप में विजुअल स्टूडियो का उपयोग करके संकलित किया जा सकता है और संकलित डीएलएल के निष्पादन पर, यह calc.exe उत्पन्न करेगा।

#include <windows.h>

BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved)
{
    switch (ul_reason_for_call)
    {
        case DLL_PROCESS_ATTACH:
            // Execute Calculator
            WinExec("calc.exe", SW_SHOW);
            break;
    }
    return TRUE;
}

https://github.com/cyb3rjy0t/CalcDLL

डीएलएल निष्पादित करने के लिए ODBCCONF.exe का दुरुपयोग

कमांड के निष्पादन पर, निम्नलिखित कलाकृतियाँ उत्पन्न होती हैं:

खोज

Windows Sysmon लॉग देखने के बाद संभावित पता लगाना

1. इवेंट आईडी 1 में प्रक्रिया कमांड लाइन की निगरानी करना

event.code: 1 AND (process.name: "odbcconf.exe" OR original.file_name:"odbcconf.exe") AND process.command_line:("regsvr" AND ("/A" OR "-A"))

       
                

                    
                    
                
            

event.code: 1 AND parent.process.name: "odbcconf.exe"

event.code: 7 AND process.name: "odbcconf.exe"

2. https://attack.mitre.org/techniques/T1218/008/
3. https://dmcxblue.gitbook.io/red-team-notes-2-0/red-team-techniques/defense-evasion/t1218-signed-binary-proxy-execution/untitled-4
4. https://learn.microsoft.com/en-us/sql/odbc/odbcconf-exe?view=sql-server-ver16
5. https://redcanary.com/blog/raspberry-robin/
6. https://chat.openai.com/