DLL-библиотеки, загружаемые с помощью Winlogon (Winlogon Helper DLL) расширяют функциональность процесса входа в систему Windows, выполняя код во время сеансов пользователей. Являясь неотъемлемой частью системных операций, эти DLL загружаются Winlogon, который управляет входом пользователей в систему, безопасностью и интерфейсом. Из-за повышенных привилегий и важной роли в системных процессах злоумышленники часто используют эти DLL для скрытного выполнения вредоносного кода, получая постоянный высокоуровневый доступ к взломанным системам.
Использование злоумышленниками библиотеки Winlogon Helper DLL
Стратегически изменяя определенные записи реестра, злоумышленники могут манипулировать Winlogon для загрузки и выполнения вредоносных DLL и исполняемых файлов во время входа в систему.
Обычно они фокусируются на следующих ключах, которые являются ключевыми для вспомогательных функций Winlogon.
| 1 2 | HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon\ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ |
Распространенная тактика включает:
- Изменение ключа Winlogon\Shell для замены системной оболочки по умолчанию на вредоносный исполняемый файл
- Модификация Winlogon\Userinit для замены стандартного userinit.exe на пользовательский исполняемый файл, а также
добавление новых DLL-пакетов уведомлений через Winlogon\Notify
Эти изменения заставляют вредоносные файлы выполняться в контексте вошедшего в систему пользователя или учетной записи Local System, предоставляя злоумышленникам надежный способ сохранения доступа.
Например, в мае 2024 года была замечена вредоносная программа KamiKakaBot, использующая метод Winlogon Helper DLL для обеспечения устойчивости на взломанных системах. По словам исследователей безопасности, KamiKakaBot изменяет определенные записи реестра, чтобы загрузить вредоносные DLL во время входа пользователя в систему, обеспечивая выполнение своего кода с повышенными привилегиями каждый раз, когда пользователь входит в систему.
| 1 | HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe, explorer.exe /e,/root,%Pyps% -nop -w h "Start-Process -N -F $env:Msbd -A $env:Temprd" |
Эта команда изменяет значение Shell в реестре Windows по пути HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. По умолчанию значение Shell установлено на explorer.exe, который запускает стандартную среду рабочего стола Windows при входе пользователя в систему. Однако модифицированное значение вводит второй экземпляр explorer.exe вместе с вредоносными параметрами.
Команда включает /e,/root,%Pyps%, которая направляет проводник Windows на открытие определенного корневого каталога, вероятно, содержащего скрытые или вредоносные файлы, указанные переменной окружения %Pyps%. Он также выполняет команду PowerShell с помощью функции Start-Process, используя дополнительные переменные окружения, такие как $env:Msbd и $env:Temprd. Эти переменные, вероятно, ссылаются на вредоносные полезные нагрузки или скрипты. Использование таких параметров, как -nop (нет профиля) и -w h (скрытое окно), обеспечивает скрытный запуск процесса PowerShell, не позволяя пользователям обнаружить его.
Эта модификация позволяет злоумышленнику выполнять произвольные команды или полезные нагрузки во время процесса входа в систему, эффективно сохраняя устойчивость и маскируя вредоносную активность за легитимным окружением рабочего стола.
Кроме того, в другом отчете об анализе песочницы были обнаружены образцы вредоносного ПО, которые пытаются модифицировать ключ реестра Winlogon Helper DLL для достижения стойкости. Например, образец, проанализированный в мае 2024 года (Mandela.exe), демонстрировал поведение, соответствующее этой технике, что указывает на то, что злоумышленники продолжают использовать этот метод для сохранения доступа к взломанным системам.