刘泰然 侯登云 李云轩 李培东 金佳燕 刘军

基金项目：大学生创新创业项目；项目名称：面向“云会议”系统安全问题的调研和对策；项目编号：202013994014Y。

作者简介：刘泰然（2001— ），男，贵州锦屏人，本科生；研究方向：网络空间信息安全。

*通信作者：刘军（1969— ），男，江苏苏州人，教授，硕士；研究方向：信息安全。

摘要：随着2020年疫情的来临，基于云会议系统的线上会议突然兴起，各式各样的视频会议系统进入人们的日常生活中，而视频会议系统带来便利的同时，也在使用过程中暴露出很多信息安全问题，包括拦截、中断、篡改、伪造等攻击方式。因此，针对目前视频会议系统存在的信息安全问题，以解决信息安全问题为创新目标，文章对恶意动态链接库进行安全性分析，分析其对会议系统的危害现状，基于客户端安装包攻击和注入攻击分别提出和设计相对应的信息安全系统，用来加强整个信息系统的安全性，并进行结果对比分析，得到针对劫持漏洞的初步解决方案。

关键词：恶意动态链接库；视频会议安全策略；注入攻击；恶意劫持；信息传输

中图分类号：TP311 文献标志码：A

0 引言

随着云计算和互联网技术的不断进步和发展，社会对于云会议应用的需求量越来越大。在疫情的影响下，由于疫情防控的需要，大多数办公和学习都只能居家进行，导致人们的信息交互不能得到及时反馈，从而影响办公学习的效率。目前，视频会议系统都存在着拦截、中断、篡改、伪造等安全问题。本文对其中的动态链接库（Dynamic Link Library，DLL）的安全做出简要介绍和针对此类问题提出想法和改进方法。

相较传统的视频会议系统，以软件为主的云视频会议系统是在云计算虚拟机架构下实现的，以众互联网公司为代表，比较成熟的产品有腾讯会议、飞书等。云视频会议系统能够为用户提供各种灵活的个性化定制服务，并且符合云计算的三层服务架构特点［1］，分别为IaaS层、PaaS层和SaaS层。到目前为止，在PaaS层中没有有效应对DLL注入攻击的应对方案以及解决措施［1］。

1 DLL对视频会议的危害

动态链接数据库，DLL是一种包含了可供多种进程间共同使用的程序和信息的数据库，但DLL并不是可执行文件，是为操作系统提供一种模块化的共享库的方案。DLL一开始设计出来是为了节约计算机中的磁盘空间和运行空间，后来广泛运用于资源的共享和数据的共享并使系统设计变成模块化设计更方便管理。攻击者可以在视频会议的服务器端加入恶意动态链接库，这时攻击者将能够在用户进行视频会议时对用户信息实施监视、截取、中断、修改等动作，而使用者的对话内容或者机密文件会将信息泄露出去，进而损害通信网络安全，或者损害公众的通信权利、通话隐私权，又或者也可以被用来进行欺诈、间谍等其他活动［2］ 。

2 攻击方式

本文主要说明恶意动态链接库的两种攻击方式和攻击过程。

2.1 客户端安装包攻击

这种攻击是攻击者绕开应用检测后部署在官网上提供给用户下载使用，用户安装后攻击者通过此漏洞，安装的程序就自动下载攻击者的恶意动态链接库，从而获取到用户的信息或者权限进行监听、拦截、中断、篡改等操作。视频会议软件中这种攻击非常常见，zoom就是一个代表，攻击者通过恶意修改安装包中的动态链接库，实现用户信息的获取，截取或者拦截会议中的内容，更严重的还可以修改视频会议中的通话质量和内容，使得用户的会议内容被攻击者恶意利用。

2.2 注入攻击

注入攻击者通常代指一类攻击，它利用方法注射数据到某个网络应用程序中以期得到正常执行，又或者利用非预期的另一个方法来执行恶意数据。这种类型的危险，包含了跨站脚本式入侵（Cross Site Scripting）、SQL灌注进攻、头部灌注进攻、日志灌注进攻，以及全途径的暴露［3］ 。

对某个开始执行的步骤进行/注入代码的步骤，如图1所示。将加入的程序以动态链接库（DLL）的方式出现。DLL软件在执行后，会依需加入类似UNIX操作系統中的共享库（share object，扩展名为.so）。用户在启动一个视频会议程序时这个程序需要DLL，可利用定义的全路线、DLL重定向，并且能够利用manifest文件来限制全路线。

同样，如果上述方法均未采用，系统会根据特殊搜寻次序定位DLL文档。特殊搜寻次序分为标准和备用搜寻次序。攻击者可以通过把恶意制造的DLL文件置于程序同一目录。程序运行的时候搜索到恶意制造的DLL文件并调用后，攻击者就可以获取用户的资料或者信息。而DLL加载攻击则是用户在使用程序的过程中，调用到DLL文件时去寻找响应的DLL文件进行加载，它与预加载攻击其实很相似，一个是在程序启动初期发生的攻击，一个是在程序运行中发生的攻击，二者攻击的方式都一样，都是去寻找DLL文件，从而让攻击者有机可乘。

这样修改了DLL的搜索路径后不仅会影响视频会议软件进程的运行，还非常有可能影响其他程序的运行，这样不仅是视频会议的信息会泄露，而且用户的其他私人信息可能也会泄露出去，从而导致严重的后果。

3 安全性分析

以DLL安装包替换攻击和注入攻击对视频应用所带来的冲击为依据，我们提供的DLL视频会议认证防御机制和安全防护方法能够在近乎真实的场景中，有效防止客户端安装包的入侵，对DLL加载过程进行了安全验证，从而有效抵御恶意劫持DLL的漏洞入侵，及时发现网络中本身存在的可能对视频会议软件造成影响的漏洞。从安全性的角度设计，可以设置系统中DLL文件与应用对自身DLL文件的黑白底片名单库，以及应用软件提供方随应用软件提供的安全DLL文件时的哈希值包，并辅以我们所提供的认证防护体系，将能够较为有效地对抗恶意劫持DLL的渗透威胁，同时也应该加强对于自身网络的漏洞扫描和处理，将视频会议的安全性进一步提升。

随着云计算、移动互联网及人工智能等前沿技术引入，云视频会议平台在大幅提升服务质量的同时，必然会引入新的安全风险。因此，云视频会议系统安全防护需要在原有视频会议安全功能的基础上对其进一步完善，并根据用户使用需求和实际应用场景，设计语音、视频、消息、会议、文件等多功能于一体的云视频会议系统安全防护方案。云视频会议系统，既要满足视频会议的使用要求，也要确保系统安全平稳运行和用户隐私不会被泄露。想要实现云视频会议系统全过程安全防护，就必须保证云视频会议系统的安全性、完整性、可用性、可控制性和可追溯性［4］。

4 解决方案

现有的静态检测技术既有优势，同时也存在不足。优势在于静态检测开销小，检测的针对性更强，效率较高，但其检测方式相对固定和单一，很容易被攻击者利用其缺点从而逃过静态检测，使系统存在被攻击的风险。系统回调检测技术虽然相对静态检测开销大，技术难度高，但是其检测方式多样化，对于不同的攻击方式有不同的应对之策，具有很高的灵活性、可信度。

鉴于攻击者会将带有恶意木马的视频会议安装包通过伪造成“真正”的安装包放在应用商店中诱导用户下载，攻击者会通过这些带有恶意木马的安装包非法窃听和获取用户的关键信息，导致用户在下载安装带有恶意木马的安装包时产生一系列的信息安全问题。鉴于此类安全问题，本文提出了解决方案［5］。

4.1 设计思路

在通常情况下，程序加载DLL的时机主要有以下两个：一是在进程创建阶段加载输入表中的DLL，即静态输入；二是通过调用系统API函数主动加载，即系统回调加载，对加载的DLL文件进行数字签名，保证DLL文件的唯一性。因此，应对DLL安装包攻击和注入攻击通过上述两种手段进行。

4.2 认证原理

DLL认证基于对文件签名的唯一性。在视频会议程序中可得到一个视频会话安装文件，将视频会话中的所有DLL文件信息视为一条长串，对该串进行哈希计算得出相应哈希值，并视为以此哈希值为该文件的唯一标识，并存入系统文件中成为安全DLL文件。

DLL认证流程如图2所示，DLL認证流程是把所有安全DLL文件的哈希值都保存在系统中，在收集到由回调函数发出的DLL加载数据时，把加入的DLL文件哈希值和所存储的所有安全DLL文件哈希值进行比对，如果相同则验证成功，否则验证将不能通过，可能出现了恶意安装包等的问题。使用DLL认证过程也能够提高系统的稳定性，避免了客户端的DLL安装包攻击和注入攻击，提高了信息安全性［2］。

4.3系统结构设计

本文系统结构主要包括核心状态子系统、设备状态子系统、信息安全系统。核心子系统主要包括注册模块和回调模块，注册模块的主要作用为在启动前使用PsSetLoadlmageNotifyRoutine0先注入的回调函数，在关闭后使用PsRemoveLoadImageNotifyRoutine0删除先前注入的回调函数。回调功能的主要作用是提供回调函数，它可以进行数据扩展名过滤，只把从DLL软件中加载的相关数据发送到用户端子系统中处理。

用户端子功能系统主要包括控制功能、接收模块、监视模块、HASH注册表、PGP签名功能、处理模块、安全系统模块。控制功能主要用来管理注册模块和受理模块之间的打开与关闭关系及其调整。在受理模块打开后，可接收由回调功能发出的DLL加载相关消息，并将其传递到处理模块完成认证处理；禁用后则不能进行其他功能。监控模块为指定程序的监控，包括监视HASH注册表模块将所有DLL文件都按照安全文件进行国产sm2哈希值处理和PGP签名模块验证。HASH注册表用于将DLL文件的HASH值进行登记注册。PGP签名模块是用于数字签名判断注册表中的HASH值是否与DLL安全文件中的HASH值一致。处理模块依据通过PGP数字签名认证的结果得到是否DLL文件被恶意篡改和伪造。

网络安全系统主要分为防火墙模块、网络安全扫描模块、攻击侦测系统模块，通过安全模块可以及时发现来自互联网内部或者外界，可能会导致系统遭到威胁的各种系统漏洞，一旦发现违反安全策略的情况以及系统遭受威胁的可能性，及时发布警报并采取相应保护措施，对互联网和系统实施主动性防护。

4.4 系统验证

为了验证系统的实际效果和其他检测方式的差异性，本文设计了两组实验，第一组实验用专门编写的测试程序去验证系统；第二组实验是用常用的应用软件测试。通过两组实验数据验证通过系统回调加载DLL文件验证的安全性以及可靠性。

在第一组实验中，编写一个DLL.test测试程序，分别通过静态加载和动态加载static.dll和dynamic.dll两个库文件，通过调用回调加载DLL文件验证。编写另外一个与static.dll 和dynamic.dll同名的库文件，进行三次测试。第一次测试正常运行DLL.test文件，不加以监视。第二次运行DLL.test文件，加以监视。第三次运行DLL.test文件，加以监视，并用假冒的DLL文件去替换原有的DLL文件。三次运行的试验结果如表1所示。

综上所述：第一次测试环节由于未添加监视模块所以显示“Not found”，没有在HASH注册表注册，在验证环节不能够找到对应的HASH值，所以不能够进行下面的验证环节。在第二次测试中增加监测模块，两个DLL文件在HASH表中注册，由于没有进行DLL劫持，所以验证通过。第三次测试增加了检测模块和DLL劫持，两个被劫持的DLL文件均不能通过验证，有效地防御了DLL劫持攻击，抵御了加载漏洞攻击。

第二组测试用三款常用的视频会议应用软件，采用随机非本软件的DLL文件进行加载，验证本系统的实际检测效果。测试结果如表2所示。

监测采样完全模拟用户从消费市场和网络应用商店的行为，依据前期调研数据覆盖主流产品。从品牌分布来看，硬件视频会议产品包括腾讯会议、钉钉、飞书，覆盖了中小学生网络课程远程视频培训产品，最大限度反映了消费者的真实使用现状。目前，针对视频会议产品的信息安全风险，国内尚无针对性的国家标准出台。本次风险监测主要监测项目包括身份鉴别、权限控制、通信安全、个人信息保护以及移动应用安全等，采用的检测和判定依据是信息安全领域通用的国家标准《信息安全技术网络安全等级保护基本要求》（GB/T 2223—2019）第三级要求［5］ 。

测试数据表明，上述三款视频会议软件均能在DLL被劫持篡改后检测到异常，说明了伪造的DLL文件没有通过防御系统的认证，抵御了漏洞攻击。本文提供的DLL认证系统并不会影响应用程序的正常运行，也没有对现有操作系统有更高的要求。

从实用价值出发，由于我们所提供的用于视频会议的DLL验证机制既没有干扰应用程序的正常载入进程，也不会对已有的操作系统加载机制提供额外要求，从而完全能够对DLL验证机制进行模块化实现，并内嵌到已有的视频会议程序中，因此具备了很大的使用优势。对于注入攻击采用的信息安全策略不仅能发现自身网络中对视频会议有潜在威胁的危险，还能发现其他对计算机本身的潜在攻击等危险，大大保证了该计算机的信息安全。

5 结语

基于DLL劫持攻击对视频会议系统的稳定性影响分析，以及设计系统验证拦截效果，本文从几个方面讨论出针对DLL劫持漏洞的初步解决方案。可根据此系统结构设计深入研究系统的工作机理、安全漏洞，并改进研发出适应各行业用户使用特点和安全要求的视频会议产品，这将有助于实现视频会议系统的安全策略。

参考文献

［1］肖紅威.云计算架构下云视频会议系统安全问题探究［J］.网络安全技术与应用，2021（6）：76-77.

［2］刘峰宇，解炜.基于签名认证的DLL加载漏洞防御技术研究［J］.信息网络安全，2017（11）：62-66.

［3］宋晓斌，穆源，朱涛，等.DLL注入及检测技术研究综述［J］.信息安全研究，2022（8）：786-792.

［4］潘唐贤.云计算架构下云视频会议系统安全问题分析［J］.电子技术与软件工程，2021（17）：237-238.

［5］李乐言，宋佳，彭琦.视频会议产品信息安全风险分析及改善措施［J］.信息与电脑（理论版），2022（7）：243-245，250.

（编辑 李春燕）

Abstract： Due to the advent of the epidemic in 2020， video conferencing suddenly arose，a large number of video conferencing systems into Peoples Daily life， but the use of video conferencing system in the process of information security problems also followed. Aiming at the problem of information security in the current video conference system， this paper introduces the malicious dynamic link library and gives the security analysis and puts forward the corresponding solution to enhance the system security.

Key words： malicious dynamic link library; video conference security policy; injection attack; malicious hijacked