LD_PRELOAD-Hijacking
Was ist LD_PRELOAD-Hijacking?
LD_PRELOAD-HijackingLinux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
LD_PRELOAD-Hijacking (MITRE ATT&CK T1574.006) missbraucht den GNU-Dynamic-Linker auf Linux und den meisten Unix-Systemen. Durch Setzen von LD_PRELOAD (für einen Prozess oder eine User-Shell) oder Eintragen eines Pfads in /etc/ld.so.preload (systemweit) zwingt der Angreifer ld.so, eine Shared Library vor allen anderen zu laden. Die schädliche .so kann libc-Symbole wie readdir, open, accept oder write hooken, um Dateien und Prozesse zu verbergen, Zugangsdaten abzugreifen oder ein Userland-Rootkit zu betreiben. Funktioniert gegen Nicht-setuid-Binärdateien und wird von Linux-Malware wie HiddenWasp oder Symbiote intensiv genutzt. Abwehr: /etc/ld.so.preload mit AIDE/auditd überwachen, auf root beschränken, unerwartetes LD_PRELOAD erkennen und libc mit statisch gelinkten Tools verifizieren.
● Beispiele
- 01
Eintragen von /usr/lib/libsel.so in /etc/ld.so.preload, sodass jeder neue Prozess ein Userland-Rootkit lädt.
- 02
Setzen von LD_PRELOAD für sshd, um PAM-Authentifizierung zu hooken und Credentials abzugreifen.
● Häufige Fragen
Was ist LD_PRELOAD-Hijacking?
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet LD_PRELOAD-Hijacking?
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
Wie funktioniert LD_PRELOAD-Hijacking?
LD_PRELOAD-Hijacking (MITRE ATT&CK T1574.006) missbraucht den GNU-Dynamic-Linker auf Linux und den meisten Unix-Systemen. Durch Setzen von LD_PRELOAD (für einen Prozess oder eine User-Shell) oder Eintragen eines Pfads in /etc/ld.so.preload (systemweit) zwingt der Angreifer ld.so, eine Shared Library vor allen anderen zu laden. Die schädliche .so kann libc-Symbole wie readdir, open, accept oder write hooken, um Dateien und Prozesse zu verbergen, Zugangsdaten abzugreifen oder ein Userland-Rootkit zu betreiben. Funktioniert gegen Nicht-setuid-Binärdateien und wird von Linux-Malware wie HiddenWasp oder Symbiote intensiv genutzt. Abwehr: /etc/ld.so.preload mit AIDE/auditd überwachen, auf root beschränken, unerwartetes LD_PRELOAD erkennen und libc mit statisch gelinkten Tools verifizieren.
Wie schützt man sich gegen LD_PRELOAD-Hijacking?
Schutzmaßnahmen gegen LD_PRELOAD-Hijacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für LD_PRELOAD-Hijacking?
Übliche alternative Bezeichnungen: ld.so.preload-Missbrauch, Shared-Library-Hijack.
● Verwandte Begriffe
- attacks№ 331
DLL-Hijacking
Angriff, der die DLL-Suchreihenfolge von Windows missbraucht, damit ein legitimes Programm eine vom Angreifer kontrollierte Bibliothek anstelle der vorgesehenen lädt.
- attacks№ 238
Cron-Persistenz
Linux- und Unix-Persistenztechnik, die cron, anacron oder systemd-Timer nutzt, um Angreifercode in einem gewählten Intervall oder bei einem Systemereignis erneut auszuführen.
- attacks№ 608
launchd-Persistenz
macOS-Persistenztechnik, die ein LaunchDaemon- oder LaunchAgent-Plist hinterlegt, damit launchd Angreifercode beim Boot, Login oder bei einem Trigger ausführt.
- malware№ 949
Rootkit
Tarn-Malware, die einem Angreifer privilegierten Zugriff auf ein Betriebssystem oder Gerät gewährt und ihn vor üblichen Werkzeugen versteckt.
- attacks№ 862
Process Injection
Eine Familie von Evasion-Techniken, bei denen ein Angreifer Schadcode im Adressraum eines legitimen Prozesses ausfuehrt, um dessen Vertrauen und Identitaet zu erben.
● Siehe auch
- № 054AppInit_DLLs