Dynamic Link Dazzle: DLLs als Einfallstor

B2B Cyber Security ShortNews

Beitrag teilen

Eine der neuesten und zunehmend alarmierenden Bedrohungen ist das DLL Side-Loading, eine ausgeklügelte Technik, bei der Angreifer Schwachstellen im Ladeprozess von Dynamic Link Libraries (DLL) ausnutzen, um schädlichen Code in scheinbar legitime Anwendungen einzuschleusen.

Dadurch können Angreifer herkömmliche Sicherheitskontrollen umgehen und ihre schädlichen Aktivitäten unbemerkt ausführen. Unter Windows ist eine Dynamic Link Library (DLL) eine Komponente, die Funktionen und Daten enthält, die von anderen Modulen wie Programmen oder DLLs verwendet werden können. Ziel ist die Modularisierung von Programmen, um die Aktualisierung und Wiederverwendung ihrer Funktionen zu erleichtern. In einer kürzlich von Logpoint veröffentlichten Studie konzentrierte sich die Analyse auf das Verhalten von KeyScrambler.exe, um potenzielle Schwachstellen für DLL Side-Loading aufzudecken. Insbesondere wurde festgestellt, dass bestimmte Versionen von KeyScrambler, darunter 3.18.0.0 und 3.17.0.4, für diese Art von Angriff anfällig sind, wobei die Möglichkeit weiterer Schwachstellen in früheren Versionen nicht ausgeschlossen werden kann.

Die Ernsthaftigkeit dieser Bedrohung wird durch die Tatsache unterstrichen, dass nicht nur bestimmte Versionen von KeyScrambler anfällig sind, sondern dass diese Art von Angriff potenziell auf eine Vielzahl von Anwendungen anwendbar ist. Unter diesen Umständen sind Maßnahmen zur Erkennung und Abwehr potenzieller Angriffe von entscheidender Bedeutung. Die Untersuchungen haben es ermöglicht, Regeln zu entwickeln, mit denen verdächtiges Side-Loading-Verhalten von KeyScrambler DLLs erkannt werden kann. Durch den Einsatz dieser Regeln können potenzielle Angriffe frühzeitig erkannt und geeignete Gegenmaßnahmen ergriffen werden, um die Auswirkungen auf die Sicherheit von Anwendungen und Netzwerken zu minimieren.

Unternehmen müssen sich darüber im Klaren sein, dass DLL Side-Loading nicht nur eine theoretische Gefahr ist, sondern eine reale Bedrohung, die ernsthafte Auswirkungen auf die Sicherheit ihrer Systeme und Daten haben kann. Durch das Verständnis der Funktionsweise dieser Angriffstechnik und die Implementierung geeigneter Gegenmaßnahmen können Unternehmen ihre Abwehrkräfte stärken und ihre digitalen Werte effektiv schützen.

Mögliche Maßnahmen gegen DLL Side-Loading

  • Implementierung einer Whitelist für Applikationen
  • Regelmäßige Software-Updates und Patch-Management
  • Überwachung von Systemprotokollen
  • Nutzung des Hijack Libs Repository
  • Einsatz von Endpoint Security Lösungen

Durch die Implementierung maßgeschneiderter Erkennungsregeln und anderer Gegenmaßnahmen können Unternehmen potenzielle Fälle von DLL Sideloading erkennen und schnell Gegenmaßnahmen einleiten.

Mehr bei Logpoint.com

 


Über Logpoint

Logpoint ist Hersteller einer zuverlässigen, innovativen Plattform für Cybersecurity-Operationen. Mit der Kombination aus hochentwickelter Technologie und einem tiefen Verständnis für die Herausforderungen der Kunden stärkt Logpoint die Fähigkeiten der Sicherheitsteams und hilft ihnen, aktuelle und zukünftige Bedrohungen zu bekämpfen. Logpoint bietet SIEM-, UEBA-, SOAR- und SAP-Sicherheitstechnologien, die zu einer vollständigen Plattform konvergieren, die Bedrohungen effizient erkennt, Fehlalarme minimiert, Risiken selbstständig priorisiert, auf Vorfälle reagiert und vieles mehr.


 

Passende Artikel zum Thema

Bitterfeld: Ransomware-Attacke kostete 2,5 Millionen Euro

Der Cyberangriff mit Ransomware auf den Landkreis Bitterfeld vor drei Jahren zeigt die unbequeme Wahrheit: es dauerte Jahre die IT ➡ Weiterlesen

Neue Ransomware-Variante Fog entdeckt

Über die Bedrohungsakteure der neuen Ransomware-Variante namens Fog ist noch nicht viel bekannt. Bisher sind nur US-Amerikanische Organisationen davon betroffen ➡ Weiterlesen

Europol: Fast 600 kriminelle Cobalt Strike-Server ausgeschaltet

Alte und unlizenzierte Versionen von Cobalt Strike, das eigentlich legitime Testtool von Pentestern und Red-Teams, sind in den Händen von ➡ Weiterlesen

Kinsing-Malware – Millionen Angriffe täglich

Seit 2019 ist Kinsing-Malware, die insbesondere Cloud-Native-Infrastrukturen angreift, ständig auf dem Vormarsch. Eine neue Studie stellt Angriffstechniken und -taktiken der ➡ Weiterlesen

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

Microsoft schickt Kunden Warnung per E-Mail die wie Spam aussieht

Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass ➡ Weiterlesen

Starke Zunahme bei Malware-, BEC- und QR-Code-Phishing-Angriffen

Der aktuelle E-Mail Threat Landscape Report von Trend Micro zeigt eine starke Zunahme von Malware-, BEC- und QR-Code-Phishing-Angriffen auf Unternehmen. ➡ Weiterlesen

Telegram: 361 Millionen Nutzerdaten geleakt

Cyberkriminelle haben Millionen von E-Mail-Adressen sowie Benutzernamen und Passwörter von Online-Konten in Kanälen des Messenger-Dienstes Telegram veröffentlicht, so der Betreiber ➡ Weiterlesen