Какой процесс может получить прикосновение к DLL другого приложения?

1766
Edward

Вот скриншот Process Monitor, который показывает, что процесс AliIM.exe что-то делает с DLL TeamViewer

Process Monitor Records

Поскольку TeamViewer - это приложение для удаленного управления, у меня есть некоторые проблемы с безопасностью, получат ли они эти учетные данные TeamViewer? Процесс не запрашивает привилегии администратора при запуске.

Журнал монитора процессов в формате csv с включенной функцией «Показать процесс и активность потока».

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"  "7:59:16.2471434 PM","AliIM.exe","30332","Process Start","","SUCCESS","Parent PID: 11168, Command line: ""C:\Program Files (x86)\AliWangWang\AliIM.exe"" /run:desktop, Current directory: C:\Program Files (x86)\AliWangWang\, Environment:   "7:59:16.2471586 PM","AliIM.exe","30332","Thread Create","","SUCCESS","Thread ID: 29216"  "7:59:16.2940980 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened"  "7:59:16.2941329 PM","AliIM.exe","30332","QueryBasicInformationFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","CreationTime: 10/22/2013 10:47:30 PM, LastAccessTime: 8/14/2014 2:57:05 PM, LastWriteTime: 8/4/2014 3:36:25 PM, ChangeTime: 8/14/2014 2:57:14 PM, FileAttributes: A"  "7:59:16.2941485 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""  "7:59:16.2942881 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Desired Access: Read Data/List Directory, Execute/Traverse, Synchronize, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, Delete, AllocationSize: n/a, OpenResult: Opened"  "7:59:16.2943492 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","FILE LOCKED WITH ONLY READERS","SyncType: SyncTypeCreateSection, PageProtection: "  "7:59:16.2944498 PM","AliIM.exe","30332","CreateFileMapping","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","SyncType: SyncTypeOther"  "7:59:16.2945615 PM","AliIM.exe","30332","Load Image","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS","Image Base: 0x6cff0000, Image Size: 0x1a000"  "7:59:16.2945812 PM","AliIM.exe","30332","CloseFile","C:\Program Files (x86)\TeamViewer\Version8\tv_w32.dll","SUCCESS",""  "7:59:16.2948406 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\VERSION.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"  "7:59:16.2960652 PM","AliIM.exe","30332","CreateFile","C:\Program Files (x86)\TeamViewer\Version8\CRTDLL.dll","NAME NOT FOUND","Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a"
1
Вполне возможно, что процесс * вынужден * загрузить DLL, потому что TeamViewer хочет манипулировать процессом. Der Hochstapler 9 лет назад 0
Как это выглядит, когда вы дополнительно активируете `Show Process and Thread activiy` в procmon? (Размещение здесь экспорта журнала в формате CSV облегчит чтение) marsh-wiggle 9 лет назад 0
Что такое AlilM.exe? из того, что я вижу в Интернете, это связано с вредоносными программами, и поэтому может захотеть украсть учетные данные из сеанса Teamviewer или попытаться заразить удаленный хост. Frank Thomas 9 лет назад 1
TeamViewer не работал, и каждый раз при запуске процесс делал то же самое для многих других приложений, поэтому я думаю, что это проблема процесса. Edward 9 лет назад 0
@boboes, был создан поток, прежде чем он пошел в DLL, добавлен журнал CSV Edward 9 лет назад 0
@FrankThomas, AliIM.exe - это программа для чата, созданная Alibaba, она не вредоносная, но и не чистая. Известно, что она крадет информацию с ПК пользователя, например, какие программы установлены. Я знаю это, но не знал, что он делает, пока я не установил Procmon сегодня. Edward 9 лет назад 0
«известно, что он крадет информацию у пользователя ПК». Ну, тогда ваш ответ, так что я не уверен, что вы ожидаете от нас? Ƭᴇcʜιᴇ007 9 лет назад 0
@ Ƭᴇcʜιᴇ007, у него более 100 миллионов пользователей, мне нужно, чтобы он общался с людьми, если это ответит на твой вопрос. Edward 9 лет назад 0
Это не отвечает, так как я не уверен, что вы просите нас. Если вы знаете, что известно, что он крадет информацию из других приложений, то, конечно, он получит доступ к их файлам / DLL, чтобы получить эту информацию. Вы, кажется, понимаете это. Итак, на какой вопрос вам нужно ответить? Ƭᴇcʜιᴇ007 9 лет назад 0
@ Ƭᴇcʜιᴇ007, я хочу знать, получит ли он действительно высокочувствительные данные, такие как учетные данные TeamViewer, имя пользователя / пароль FTP (процесс делает то же самое с DLL-клиентом FTP) и т. Д., Коснувшись dll этих приложений, если они запущены или нет , Edward 9 лет назад 0

2 ответа на вопрос

3
Frank Thomas

What you are observing may be the setup for an attack called DLL Injection, a process by which a malicious program can force the execution of code within another process, in this case teamviewer. This then allows attacks on the executing processes memory footprint, or alterations in its standard behaviour.

There is no easy way to tell what it wants to do, but I would surmise since its Alibaba, that it wants to be able to see connection information inside the encrypted tunnel that Teamviewer uses to protect its connection from eavsdropping. If teamviewer stores crypto keys in ram (as it likely), the program may have access to those keys, or even be able to observe login actions in realtime.

Я просветленный. Я уже решил перенести программу на виртуальную машину, но не уверен, что требуется обновить столько учетных записей, которые я когда-либо использовал на своем компьютере, но теперь я думаю, что лучше. Спасибо за объяснение, и вы делаете такую ​​сложную вещь настолько легкой для понимания! Edward 9 лет назад 0
Фрэнк, почему ты думаешь, что он загружает TeamViewer DLL, чтобы подготовить инъекцию DLL? Разве это не должно заставить TeamViewer загружать DLL-библиотеку AliIM для атаки? marsh-wiggle 9 лет назад 0
0
marsh-wiggle

May be there are another explanations for that behaviour.

Regular DLL search - with accidentaly same name

Having only this trace we see that the process is seeking three dlls in the TeamViewer folder: tv_w32.dll, VERSION.dll (MS Helper DLL Windows) and CRTDLL.dll (MS C Runtime).

May be there is running a regular DLL search following the search order. And the TeamViewer path seems to be in the search order. Why else should AliIM.exe look for the two MS dlls in that folder?

If this is true, then the process is just looking for a tv_w32.dll and, by accident, TeamViewer has a dll with that name. (On asian pages there seem to be discussions about a tv_w32.dll which is not a part of TeamViewer).

Any kind of missuse / attack
Since we know, that AliIM.exe is malware it may be an attack. In this case AliIM.exe could need "only" some functionality of TeamViewer. It loads the dll and uses the internal TeamViewer functions for own purposes.

Tools like Dependency Walker and Rohtap API Monitor would be helpfull to track it down.

Похожие вопросы