T1218.008 — การดำเนินการ DLL โดยใช้ ODBCCONF.exe
ODBCConf.exe คืออะไร
ODBCConf.exe เป็นโปรแกรมอรรถประโยชน์ Microsoft Windows ที่ใช้จัดการแหล่งข้อมูล Open Database Connectivity (ODBC) ODBCConf.exe ช่วยให้คุณสามารถกำหนดค่าและจัดการไดรเวอร์ ODBC และแหล่งข้อมูลบนคอมพิวเตอร์ของคุณ ODBC เป็น API มาตรฐาน (Application Programming Interface) สำหรับการเข้าถึงข้อมูลจากฐานข้อมูลต่างๆ โดยใช้ SQL (Structured Query Language)
โดยทั่วไป ODBCConf.exe จะอยู่ในโฟลเดอร์ “System32” ของการติดตั้ง Windows และสามารถเข้าถึงได้จากกล่องโต้ตอบ Command Prompt หรือ Run
ผู้คุกคามสามารถละเมิด ODBCconf.exe ได้อย่างไร
ผู้คุกคามสามารถใช้ ODBCConf.exe ในทางที่ผิดได้หลายวิธี รวมถึง: การคงอยู่ของมัลแวร์ การกรองข้อมูล การโจรกรรมข้อมูลประจำตัว การดำเนินการซอฟต์แวร์ที่เป็นอันตราย เป็นต้น บทความนี้
จะกล่าวถึงวิธีที่ผู้คุกคามสามารถเรียกใช้ DLL ที่เป็นอันตรายโดยใช้ไบนารี odbccong.exe
กำลังสร้าง DLL เพื่อเรียกใช้งาน calc.exe หรือไม่
โค้ด C++ ต่อไปนี้สามารถคอมไพล์ได้โดยใช้ Visual Studio เป็น DLL และเมื่อคอมไพล์ DLL ที่คอมไพล์แล้ว มันจะวางไข่ calc.exe
#include <windows.h>
BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
// Execute Calculator
WinExec("calc.exe", SW_SHOW);
break;
}
return TRUE;
}
https://github.com/cyb3rjy0t/CalcDLL
การใช้ ODBCCONF.exe ในทางที่ผิดเพื่อเรียกใช้ DLL
เมื่อดำเนินการตามคำสั่ง จะมีการสร้างสิ่งประดิษฐ์ต่อไปนี้:
การตรวจจับ
การตรวจหาที่เป็นไปได้หลังจากสังเกตบันทึก Windows Sysmon
- การมอนิเตอร์บรรทัดคำสั่งของกระบวนการใน ID เหตุการณ์ 1
- https://attack.mitre.org/techniques/T1218/008/
- https://dmcxblue.gitbook.io/red-team-notes-2-0/red-team-techniques/defense-evasion/t1218-signed-binary-proxy-execution/untitled-4
- https://learn.microsoft.com/en-us/sql/odbc/odbcconf-exe?view=sql-server-ver16
- https://redcanary.com/blog/raspberry-robin/
- https://chat.openai.com/
event.code: 1 AND (process.name: "odbcconf.exe" OR original.file_name:"odbcconf.exe") AND process.command_line:("regsvr" AND ("/A" OR "-A"))
event.code: 1 AND parent.process.name: "odbcconf.exe"
event.code: 7 AND process.name: "odbcconf.exe"
![รายการที่เชื่อมโยงคืออะไร? [ส่วนที่ 1]](https://post.nghiatu.com/assets/images/m/max/724/1*Xokk6XOjWyIGCBujkJsCzQ.jpeg)