黑客通过DLL劫持利用微软OneDrive执行任意代码

一种利用微软OneDrive应用程序通过DLL侧加载执行恶意代码的高级攻击技术，可使威胁行为者绕过检测机制。该攻击利用经过武器化的version.dll文件劫持合法的Windows进程，并在受感染系统上保持持久性。

DLL侧加载攻击原理剖析

根据Kas-sec安全公告，攻击者将精心构造的version.dll文件放置在OneDrive.exe同一目录下，利用应用程序的依赖项搜索顺序实施攻击。当OneDrive.exe启动时，会优先从本地目录加载恶意DLL而非系统目录。

该技术专门针对version.dll，因为包括OneDrive在内的许多Windows应用程序都依赖此库获取文件版本信息。通过策略性放置恶意DLL，攻击者可在经过数字签名的微软应用程序受信任上下文中执行代码，有效绕过监控可疑进程的安全控制。

隐蔽执行技术分析

为保持隐蔽性并防止应用程序崩溃，攻击者采用DLL代理技术。恶意version.dll导出与合法库相同的函数，在后台执行恶意操作的同时，将合法函数调用转发至原版Windows System32目录下的version.dll。这种双重功能确保OneDrive.exe继续正常运行，降低被用户或安全软件发现的概率。

公告指出，该攻击采用基于向量化异常处理(Vectored Exception Handling)和PAGE_GUARD内存保护标志的高级挂钩技术。与传统易被安全工具检测的内联挂钩方法不同，此技术通过故意触发内存异常来拦截API调用。当OneDrive.exe尝试调用CreateWindowExW等特定函数时，恶意代码通过异常处理程序捕获执行流并将其重定向至攻击者控制的函数。

防御建议

安全专业人员应实施应用程序白名单、监控DLL加载行为并验证加载库的数字签名，以防御此类针对可信应用程序的复杂侧加载攻击。该技术特别有效的原因是避免了基于签名的检测系统通常能识别的持久性代码修改。挂钩在每次拦截后使用单步异常重新武装自身，持续控制目标API函数。

恶意DLL加载后会创建独立线程执行任意有效载荷，同时不会阻塞应用程序初始化过程。PoC会在隐藏窗口的情况下启动额外进程，从而在受感染系统上进行隐蔽操作。