Nepotpisani DLL kao indikator ranjivosti

Obezbeđivanje vidljivosti je norma koja je još važnija u nasleđenim scenarijima, kao što je klasična Active Directory mreža, koja daje mnoge mogućnosti za eskalaciju privilegija i bočno kretanje.

Najbolji način da se postigne vidljivost je instaliranje alata za praćenje na većini IT uređaja – od laptopova do servera. Danas je standard Endpoint Detection and Response softver (EDR) za automatsko otkrivanje tipičnih indikatora pretnji u velikim razmerama.

Jedan od tipičnih indikatora i često korišćena tehnika za izvršavanje zlonamernog opterećenja na zaraženim sistemima je učitavanje zlonamernog DLL-a. Zlonamerni DLL-ovi su generalno zapisani na neprivilegovanim putanjama i njihov kod nije potpisan od strane pouzdanog autoriteta za potpisivanje koda. Da bi se izbeglo otkrivanje, potpisani proces učitava DLL-ove, bilo uz pomoć programa posvećenog učitavanju DLL-ova (kao što je rundll32.exe) ili izvršne datoteke koja učitava DLL-ove kao deo svoje aktivnosti.

Na slici ispod (kliknite za uvećanje) koja prikazuje primer Palo Alto Networks Cortex XDR-a, napadač koristi legitimnu i potpisanu aplikaciju (u ovom slučaju AvastSvc.exe) da učita zlonamerni i nepotpisani DLL (wsc.dll).

Ovde DLL učitava alat za daljinski pristup (RAT - remote access tool) koji omogućava napadaču da dalje istražuje i luta kompromitovanom mrežom.

Naravno, ručna pretraga i analiza postaju nemoguće u savremenim okruženjima, gde i broj endpoint-ova i tehnika napada brzo rastu. Upravo zbog toga je potrebna automatska analiza i otkrivanje tehnika napada koje se koriste unutar mreže.

EDR ili XDR rešenja pomažu tako što upozoravaju i blokiraju ove i druge tehnike izvršavanja koje se koriste na endpoint-ovima, bez obzira da li je malver već poznat ili prvi put viđen. Na taj način mogu da se spreče aktivnosti nakon eksploatacije u ranim fazama i otkriju akteri onlajn pretnji pre nego što bude prekasno.

Pročitajte više o nepotpisanom učitavanju DLL-a na blogu Palo Alto Networks Unit 42.