DLL-Injection
Was ist DLL-Injection?
DLL-InjectionCode-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren.
DLL-Injection zwingt einen laufenden Prozess, eine schaedliche DLL in seinen Adressraum zu mappen; deren DllMain oder eine exportierte Funktion laeuft danach mit den Rechten und Vertrauensattributen des Host-Prozesses. Klassisch laeuft das ueber OpenProcess, VirtualAllocEx und WriteProcessMemory, gefolgt von CreateRemoteThread auf LoadLibraryA. Varianten sind Reflective DLL Loading (ohne Datei auf Disk), SetWindowsHookEx und Missbrauch des AppInit_DLLs-Registries. MITRE ATT&CK fuehrt das als T1055.001 unter Process Injection. Schutzmassnahmen: EDR mit Cross-Prozess-API-Tracing, Kernel-Callbacks (PsSetCreateProcessNotifyRoutineEx), Protected Processes, Code Signing, Blockieren von Remote-Thread-Erzeugung in kritischen Prozessen und Sysmon-Event-8-Monitoring.
● Beispiele
- 01
Ein Cobalt-Strike-Beacon migriert per DLL-Injection und CreateRemoteThread in svchost.exe.
- 02
Malware nutzt AppInit_DLLs, um eine Credential-Stealer-DLL in jeden interaktiven Prozess zu laden.
● Häufige Fragen
Was ist DLL-Injection?
Code-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DLL-Injection?
Code-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren.
Wie funktioniert DLL-Injection?
DLL-Injection zwingt einen laufenden Prozess, eine schaedliche DLL in seinen Adressraum zu mappen; deren DllMain oder eine exportierte Funktion laeuft danach mit den Rechten und Vertrauensattributen des Host-Prozesses. Klassisch laeuft das ueber OpenProcess, VirtualAllocEx und WriteProcessMemory, gefolgt von CreateRemoteThread auf LoadLibraryA. Varianten sind Reflective DLL Loading (ohne Datei auf Disk), SetWindowsHookEx und Missbrauch des AppInit_DLLs-Registries. MITRE ATT&CK fuehrt das als T1055.001 unter Process Injection. Schutzmassnahmen: EDR mit Cross-Prozess-API-Tracing, Kernel-Callbacks (PsSetCreateProcessNotifyRoutineEx), Protected Processes, Code Signing, Blockieren von Remote-Thread-Erzeugung in kritischen Prozessen und Sysmon-Event-8-Monitoring.
Wie schützt man sich gegen DLL-Injection?
Schutzmaßnahmen gegen DLL-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- attacks№ 862
Process Injection
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- malware№ 649
Schadsoftware
Jede Software, die absichtlich entwickelt wurde, um Computer, Netzwerke oder Daten zu stören, zu beschädigen oder unbefugt darauf zuzugreifen.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.