Sep 30, 2022

Nepotpisani DLL kao pokazatelj ranjivosti

Osigurati vidljivost je praksa koja je još važnija u legacy scenarijima, kao što je klasična Active Directory mreža, koja omogućava mnoge prilike za eskalaciju privilegija i bočno kretanje.

Najbolji način za postizanje vidljivosti je imati alate za praćenje instalirane na većini IT uređaja - od prijenosnih računala do servera. Danas je standard korištenje Endpoint Detection and Response softvera (EDR) za automatsku detekciju tipičnih pokazatelja ugroženosti u velikom opsegu.

Jedan od tipičnih pokazatelja i doista često korištena tehnika za izvršavanje zlonamjernog koda na zaraženim sustavima je učitavanje zlonamjernog DLL-a. Zlonamjerni DLL-ovi uglavnom su zapisani na neprivilegiranim putanjama i njihov kod nije potpisan od strane pouzdanog autoriteta za potpisivanje koda. Kako bi se izbjeglo otkrivanje, potpisani proces učitava DLL-ove bilo uz pomoć programa posvećenog učitavanju DLL-ova (kao što je rundll32.exe) ili pak izvršne datoteke koja učitava DLL-ove kao dio svoje aktivnosti.

Na slici ispod (kliknite za povećanje) koja prikazuje situaciju na primjeru Palo Alto Networks Cortex XDR-a, napadač koristi legitimnu i potpisanu aplikaciju (u ovom slučaju AvastSvc.exe) za učitavanje zlonamjernog i nepotpisanog DLL-a (wsc.dll).

vastSvc.exe uses side-loading to load a malicious DLL. — AvastSvc.exe koristi bočno kretanje za učitavanje zlonamjernog DLL-a.. Izvor: Palo Alto Networks Unit42 blog

Ovdje DLL učitava alat za daljinski pristup (RAT- remote access tool) koji napadaču omogućuje daljnje istraživanje i lutanje po ugroženoj mreži.

Naravno, ručna pretraga i analiza ovakvih situacija postaju nemoguće u modernim okruženjima, gdje i broj endpoint-ova i tehnika napada brzo raste. Upravo je zato potrebna automatska analiza i otkrivanje napadačkih tehnika koje se koriste unutar mreže.

EDR ili XDR rješenja pomažu upozoravanjem i blokiranjem ove i drugih tehnika izvršenja koje se koriste na endpoint-ovima, bez obzira je li zlonamjerni softver već poznat ili je viđen prvi put. Navedeno može spriječiti aktivnosti nakon eksploatacije u ranim fazama i otkriti aktere prijetnji na mreži prije nego bude prekasno.

Pročitajte više o nepotpisanom učitavanju DLL-a na Palo Alto Networks Unit 42 blogu.