Check Point geht mithilfe künstlicher Intelligenz gegen Dynamic Link Library (DLL)-Bedrohungen vor. DeepDLL ist ein KI-Modell zur Abwehr von Zero Day DLL-Attacken. Die Engine, die anhand von Millionen von Beispielen trainiert wurde, nutzt ThreatCloud AI Big Data und erkennt schädliche Merkmale von DLLs.
DLLs sind eine Art von Dateien in Windows-Betriebssystemen, die Code und Daten enthalten, welche von mehreren Programmen gleichzeitig verwendet werden. Diese Dateien helfen Programmen, ihre Ressourcen effizient zu nutzen und die Gesamtgröße der Software zu verringern. Ihr Nutzen macht sie zu einem verlockenden Ziel für Angreife und daher ist der Missbrauch von DLL-Dateien zu einer beliebten Methode für Hacker geworden, um sich zu verstecken und die Kontrolle über Zielsysteme zu erlangen.
Hinweis auf potenziell bösartige Aktivitäten
Die von DeepDLL extrahierten Merkmale weisen auf potenziell bösartige Aktivitäten hin, die von den Sicherheitsforschern identifiziert wurden, zum Beispiel Dateimetadaten und kompilierte Strukturen (Kommunikation, Verschlüsselung, Codestruktur, usw.). Außerdem erkennt die Engine die Angriffskette der DLL und weiß daher, ob sie per E-Mail oder ZIP-Datei eintrifft, oder von einer ausführbaren Datei abgelegt wird. Schließlich werden alle Merkmale an das neue KI-Modell gesendet, welches die Daten analysiert und Muster erkennt. Nach eigenen Ausagen von Check Point erreicht DeepDLL eine Trefferquote von 99,7 Prozent.
In einem Anwendungsfall wurde eine DLL-Datei von DeepDLL bei einem Unternehmen in den Niederlanden eindeutig erkannt. Die bösartige DLL, die in einem Microsoft Installationsprogramm (MSI) enthalten war, das auf einen Rechner heruntergeladen worden ist, wurde bei der Ausführung blockiert. Die MSI-Dateien enthielten mehrere Elemente, unter denen auch ein entsprechendes Beispiel gefunden wurde. Es hatte jedoch keine DLL-Erweiterung, wurde aber vom Threat Emulation Classifier als DLL identifiziert.
DLL-Techniken
Angreifer manipulieren DLLs, um schädlichen Code in legitime Prozesse einzuschleusen, und verwenden folgende Techniken:
DLL-Hijacking
Hierbei platziert ein Angreifer eine bösartige DLL desselben Namens einer legitimen DLL an einem Speicherort, auf den das System zugreift, bevor den Speicherort der echten DLL durchsucht. Wenn das System also ausgeführt wird, lädt es die bösartige DLL und hält sie für die rechtmäßige DLL.
DLL-Side-Loading
Ähnlich wie beim Hijacking wird bei dieser Technik eine Anwendung dazu verleitet, eine schädliche DLL zu laden, indem sie in ihrem Pfad platziert wird.
DLL-Einschleusung
Hierbei handelt es sich um einen direkten Ansatz, bei dem schädlicher Code über eine DLL in einen laufenden Prozess injiziert wird, so dass der Angreifer seinen Code im Kontext einer anderen Anwendung ausführen kann.
Kommentare