Hacker-Liebling DLL Sideloading
Schutz vor DLL-Missbrauch
Fortsetzung des Artikels von Teil 1
DLL Sideloading erkennen
Zur Erkennung müssen Sicherheitsanalysten in Unternehmen auf bestimmte Warnzeichen achten oder Open-Source-Projekte zur Erkennung heranziehen. Folgende Merkmale sind wichtige Indikatoren:
Signierte Portable Executables (PEs) laden unsignierte DLLs: Legitime PEs und die von ihnen nachgeladenen DLLs sind oft digital signiert. Wenn also eine vertrauenswürdige PE plötzlich eine unsignierte DLL lädt, kann dies ein Anzeichen für einen Angriff sein – insbesondere wenn die Software Prozesse mit höheren Rechten ausführt.
Verdächtige Ladepfade: DLL-Sideloading-Angriffe missbrauchen oft die DLL-Suchreihenfolge von Windows, indem sie schadhafte Dateien vor sicheren Dateien laden. Die Pfade können deshalb darüber Aufschluss geben, ob es sich bei den Dateien um bösartige DLLs handelt. Legitime und verifizierte Softwaredateien enthalten in der Regel eindeutige Verweise auf bekannte Unternehmen oder Produkte. Wenn der Pfad zu einer legitimen DLL-Datei plötzlich Begriffe wie „Desktop“, „Downloads“ oder „%programdata%“ enthält, könnte dies auf eine schadhafte DLL hinweisen.
Zeitstempel der Kompilierung: Jede PE besitzt einen Zeitstempel mit dem Zeitpunkt, an dem die Binärdatei kompiliert wurde. Wenn der Zeitpunkt der PE-Kompilierung und der Zeitstempel der durch sie geladenen DLL weit auseinanderliegen, könnte die geladene DLL schadhaft sein.
Die Erkennung maliziöser DLLs ist also nicht unmöglich, aber der Prozess ist zeit-intensiv und erfordert ein geschultes Auge. Deshalb empfehlen Sicherheitsfachleute den Einsatz von Cybersecurity-Lösungen, die mit künstlicher Intelligenz arbeiten. Beispielsweise sind XDR-Lösungen (Extended Detection and Response) in der Lage, Dateien effizienter auf die Vielzahl von Indikatoren zu durchsuchen und mögliche Angriffe schneller zu erkennen.
Zudem stellen viele Sicherheitsanbieter hilfreiche Ressourcen und Tipps bereit, die Unternehmen bei der Erkennung bösartiger DLLs unterstützten. Generell gilt: Bei allen Dateien aus externen Quellen, einschließlich E-Mail und Internet, ist Vorsicht geboten. Weitere Hilfestellungen, die Unternehmen bei der Erkennung von DLL Sideloading-Angriffen unterstützen, sind Open-Source-Projekte wie Windows Feature Hunter (WFH), DLL Spy und Hijack Libs.
WFH ist ein Proof-of-Concept-Python-Skript, das mit dem dynamischen In-
strumentierungs-Toolkit Frida häufige Schwachstellen oder „Features“ in ausführbaren Windows-Dateien identifiziert. WFH erkennt automatisch potenzielle DLL-Sideloading- und COM-Hijacking-Möglichkeiten (COM: Component Object Model) in großem Umfang.
DLLSpy wiederum erkennt DLL Sideloading und andere Sideloading-Angriffe in laufenden Prozessen, Diensten und statischen PEs mittels dynamischer, statischer und rekursiver Vorgehensweisen. Bei der dynamischen Methode scannt das Tool geladene Module für jeden Prozess, indem es diese iteriert. Danach versucht DLLSpy, in den Speicherort jedes Moduls auf der Festplatte zu schreiben, um festzustellen, ob man es seitlich laden oder überschreiben könnte. Bei der statischen Herangehensweise sucht das Tool in den Binärdateien der aktuell laufenden Prozesse nach Zeichenfolgen, die einen DLL-Namen oder DLL-Pfad enthalten. Bei der rekursiven Methode durchsucht das Tool sowohl alle DLLs aus den zuvor untersuchten Prozessen sowie zusätzliche DLLs, die diese nachgeladen haben. Es stellt dann fest, ob eine der gefundenen DLLs für Sideloading anfällig ist.
Hijack Libs schließlich bietet eine Liste von PEs, die für DLL Sideloading und andere DLL-Hijacking-Angriffe anfällig sind. Das Archiv ermöglicht es Verteidigern, sich einen Überblick über potenziell gefährdete DLLs in ihrer Umgebung zu verschaffen.
Gerüstet für die Zukunft
DLL-Sideloading-Angriffe bieten die optimalen Voraussetzungen für Angreifer: Anfällige Ziele sind schnell gefunden und Sicherheitsanalysten in Unternehmen können den Angriff meist nur schwer erkennen. Dass Opfer oft nichts falsch machen, sondern die Angreifer sie mittels legitimer Software kompromittieren, unterstreicht die Raffinesse der Bedrohung. Ob Mal-ware, Spyware oder Ransomware, DLL Sideloading eignet sich für viele Arten von Cyberangriffen. Es ist deshalb wichtiger denn je, dass Sicherheitsverantwortliche ihre Unternehmen gegen die wachsende Bedrohung rüsten. Bei der Wahl der Lösung sollten IT-Abteilungen darauf achten, dass die Software ihnen dabei hilft, die feinen Details solch eines Angriffs in der Fülle der Alarmmeldungen zu erkennen. Nur so lassen sich DLL-Sideloading-Angriffe frühzeitig und sicher erkennen und abwehren.
Reiner Dresbach ist Vice President Central and Benelux bei Cybereason.
- Schutz vor DLL-Missbrauch
- DLL Sideloading erkennen
Lesen Sie mehr zum Thema
