T1574.002: Загрузка сторонних DLL-библиотек
Злоумышленники могут запускать свою полезную нагрузку путем загрузки сторонних DLL-библиотек. Как и при перехвате поиска DLL-библиотек, загрузка сторонней библиотеки подразумевает перехват обращения программы к DLL-библиотеке. Вместо того чтобы просто размещать DLL в одном из расположений, проверяемых программой, и ждать вызова целевого приложения, злоумышленники могут напрямую внедрить легитимное приложение вместе с полезной нагрузкой и вызвать его, чтобы оно выполнило заготовленный вредоносный код.
При реализации этой техники злоумышленники полагаются на порядок поиска DLL, используемый загрузчиком, и размещают целевое приложение и полезную нагрузку рядом друг с другом. Злоумышленники используют эту технику, чтобы скрыть свои действия, выдавая их за операции легитимных и доверенных системных процессов или приложений, включая те, что имеют повышенные привилегии. Безопасные исполняемые файлы, используемые для загрузки сторонних DLL-библиотек, могут остаться незамеченными средствами безопасности во время доставки и выполнения. Вредоносные данные могут быть зашифрованы, упакованы или иным образом замаскированы до тех пор, пока не будут загружены в память доверенного процесса.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_privilege_escalation: PT-CR-460: DLL_Hijacking: Обнаружена попытка повысить привилегии учетной записи, загрузив вредоносную библиотеку mitre_attck_defense_evasion: PT-CR-1942: Subrule_DLL_Side_Loading: Злоумышленники могут запустить вредоносный код, разместив свою библиотеку рядом с легитимным приложением, которое подгрузит ее при запуске mitre_attck_defense_evasion: PT-CR-1941: DLL_Side_Loading: Злоумышленники могут запустить вредоносный код, разместив свою библиотеку рядом с легитимным приложением, которое подгрузит ее при запуске mitre_attck_command_and_control: PT-CR-611: Suspicious_Connection_After_Imageload: Процесс открыл сетевое соединение после загрузки библиотеки
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в правах доступа и атрибутах файлов. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы на предмет нетипичного поведения (например, установление сетевого подключения процессом, который обычно этого не делает), а также появление новых файлов или программ. |
|---|
| ID | DS0011 | Источник и компонент данных | Модуль: Загрузка модуля | Описание | Отслеживайте события, связанные с файлами DLL/PE, особенно события создания этих бинарных файлов, а также загрузки DLL в память процессов. Отслеживайте незнакомые DLL и те, которые обычно не загружаются в память процессов. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов в часто используемых папках системы. |
|---|
Меры противодействия
| ID | M1051 | Название | Обновление ПО | Описание | Регулярно обновляйте программное обеспечение, чтобы включить исправления, устраняющие уязвимости, связанные с загрузкой сторонних DLL-библиотек. |
|---|
| ID | M1013 | Название | Руководство для разработчиков приложений | Описание | По возможности включайте хеш-значения в файлы манифестов, чтобы предотвратить загрузку сторонних вредоносных библиотек. |
|---|