Sep 30, 2022

Nepotpisani DLL kao pokazatelj ranjivosti

Osiguravanje vidljivosti je norma koja je još važnija u naslijeđenim scenarijima, kao što je klasična Active Directory mreža, koja daje mnoge mogućnosti za eskalaciju privilegija i horizontalno kretanje.

Najbolji način za postizanje vidljivosti je instaliranje alata za praćenje na većini IT uređaja - od laptopa do servera. Danas je standard korištenje Endpoint Detection and Response softvera (EDR) za automatsko otkrivanje tipičnih indikatora prijetnji u velikim razmjerima.

Jedan od tipičnih indikatora i često korištena tehnika za izvršavanje zlonamjernog opterećenja na zaraženim sistemima je učitavanje zlonamjernog DLL-a. Zlonamjerni DLL-ovi su općenito zapisani na neprivilegiranim putanjama i njihov kod nije potpisan od pouzdanog autoriteta za potpisivanje koda. Da bi se izbjeglo otkrivanje, potpisani proces učitava DLL-ove, bilo uz pomoć programa namijenjenog učitavanju DLL-ova (kao što je rundll32.exe) ili izvršne datoteke koja učitava DLL-ove kao dio svoje aktivnosti.

Na slici ispod (kliknite za povećanje) koja prikazuje primjer situacije Palo Alto Networks Cortex XDR-a, napadač koristi legitimnu i potpisanu aplikaciju (u ovom slučaju AvastSvc.exe) da učita zlonamjerni i nepotpisani DLL (wsc.dll).

vastSvc.exe uses side-loading to load a malicious DLL. — AvastSvc.exe koristi bočno kretanje za učitavanje zlonamjernog DLL-a. Izvor: Palo Alto Networks Unit42 blog

Ovdje DLL učitava alat za daljinski pristup (RAT - remote access tool) koji omogućava napadaču da dalje istražuje i luta kompromitovanom mrežom.

Naravno, ručna pretraga i analiza postaju nemoguće u modernim okruženjima, gdje i broj endpoint-ova i tehnika napada brzo raste. Upravo zbog toga je potrebna automatska analiza i detekcija tehnika napada koje se koriste unutar mreže.

EDR ili XDR rješenja pomažu upozoravanjem i blokiranjem ovih i drugih tehnika izvršenja koje se koriste na endpoint-ovima, bez obzira na to da li je zlonamjerni softver već poznat ili prvi put viđen. Ovo može spriječiti aktivnosti nakon eksploatacije u ranim fazama i otkriti aktere prijetnji na mreži prije nego što bude prekasno.

Pročitajte više o nepotpisanom učitavanju DLL-a na blogu Palo Alto Networks Unit 42.