DLL-Injection
Was ist DLL-Injection?
DLL-InjectionCode-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren.
DLL-Injection zwingt einen laufenden Prozess, eine schaedliche DLL in seinen Adressraum zu mappen; deren DllMain oder eine exportierte Funktion laeuft danach mit den Rechten und Vertrauensattributen des Host-Prozesses. Klassisch laeuft das ueber OpenProcess, VirtualAllocEx und WriteProcessMemory, gefolgt von CreateRemoteThread auf LoadLibraryA. Varianten sind Reflective DLL Loading (ohne Datei auf Disk), SetWindowsHookEx und Missbrauch des AppInit_DLLs-Registries. MITRE ATT&CK fuehrt das als T1055.001 unter Process Injection. Schutzmassnahmen: EDR mit Cross-Prozess-API-Tracing, Kernel-Callbacks (PsSetCreateProcessNotifyRoutineEx), Protected Processes, Code Signing, Blockieren von Remote-Thread-Erzeugung in kritischen Prozessen und Sysmon-Event-8-Monitoring.
● Beispiele
- 01
Ein Cobalt-Strike-Beacon migriert per DLL-Injection und CreateRemoteThread in svchost.exe.
- 02
Malware nutzt AppInit_DLLs, um eine Credential-Stealer-DLL in jeden interaktiven Prozess zu laden.
● Häufige Fragen
Was ist DLL-Injection?
Code-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet DLL-Injection?
Code-Injection-Technik, die einen Windows-Zielprozess zwingt, eine vom Angreifer bereitgestellte DLL zu laden und auszufuehren.
Wie schützt man sich gegen DLL-Injection?
Schutzmaßnahmen gegen DLL-Injection kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.