Elastic Detection Rules项目中发现Windows DLL侧加载规则路径拼写错误

在Elastic Detection Rules项目中，一个用于检测Windows系统DLL侧加载攻击的规则被发现存在路径拼写错误。该规则旨在监控通过受信任的Microsoft程序(如Word、资源管理器等)执行可疑DLL加载的行为。

问题描述

该检测规则原本设计用于识别以下程序的异常执行路径：

• WinWord.exe (Microsoft Word)
• EXPLORER.EXE (Windows资源管理器)
• w3wp.exe (IIS工作进程)
• DISM.EXE (部署映像服务和管理工具)

在规则实现中，开发团队设置了一个排除列表，其中包含这些程序的合法执行路径。然而，在排除Windows 32位子系统(WOW64)下的资源管理器路径时，出现了拼写错误：将"SysWOW64"错误地拼写为"SyWOW64"。

技术影响

这种拼写错误可能导致以下问题：

1. 产生误报：当32位资源管理器从正确的SysWOW64目录启动时，由于路径不匹配，可能被错误地标记为可疑活动
2. 检测盲区：攻击者可能利用这个拼写错误，故意将恶意DLL放置在SyWOW64目录下进行侧加载攻击

解决方案

正确的路径应该是"?:\Windows\SysWOW64\explorer.exe"。修正后的查询将更准确地识别异常行为，同时减少合法活动的误报。

关于DLL侧加载攻击

DLL侧加载是一种常见的攻击技术，攻击者利用Windows应用程序加载DLL时的搜索顺序漏洞，将恶意DLL放置在应用程序所在目录或特定系统目录中，使其优先于合法DLL被加载。这种技术常被用于绕过安全防护和权限提升。

Elastic Detection Rules项目中的这条规则专门设计用于检测通过受信任Microsoft程序进行的可疑DLL加载活动，是防御此类攻击的重要工具之一。正确的路径排除对于减少误报和提高检测准确性至关重要。

总结

这个案例展示了安全规则中精确路径匹配的重要性。即使是细微的拼写差异也可能导致检测机制失效或产生误报。安全团队在编写和审查检测规则时，应当特别注意系统路径和文件名的准确性，并定期验证规则的预期行为。