LD_PRELOAD-Hijacking
Was ist LD_PRELOAD-Hijacking?
LD_PRELOAD-HijackingLinux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
LD_PRELOAD-Hijacking (MITRE ATT&CK T1574.006) missbraucht den GNU-Dynamic-Linker auf Linux und den meisten Unix-Systemen. Durch Setzen von LD_PRELOAD (für einen Prozess oder eine User-Shell) oder Eintragen eines Pfads in /etc/ld.so.preload (systemweit) zwingt der Angreifer ld.so, eine Shared Library vor allen anderen zu laden. Die schädliche .so kann libc-Symbole wie readdir, open, accept oder write hooken, um Dateien und Prozesse zu verbergen, Zugangsdaten abzugreifen oder ein Userland-Rootkit zu betreiben. Funktioniert gegen Nicht-setuid-Binärdateien und wird von Linux-Malware wie HiddenWasp oder Symbiote intensiv genutzt. Abwehr: /etc/ld.so.preload mit AIDE/auditd überwachen, auf root beschränken, unerwartetes LD_PRELOAD erkennen und libc mit statisch gelinkten Tools verifizieren.
● Beispiele
- 01
Eintragen von /usr/lib/libsel.so in /etc/ld.so.preload, sodass jeder neue Prozess ein Userland-Rootkit lädt.
- 02
Setzen von LD_PRELOAD für sshd, um PAM-Authentifizierung zu hooken und Credentials abzugreifen.
● Häufige Fragen
Was ist LD_PRELOAD-Hijacking?
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet LD_PRELOAD-Hijacking?
Linux-Persistenz- und Library-Hijacking-Technik, die die Umgebungsvariable LD_PRELOAD oder /etc/ld.so.preload nutzt, um Angreifercode in dynamisch gelinkte Prozesse zu injizieren.
Wie schützt man sich gegen LD_PRELOAD-Hijacking?
Schutzmaßnahmen gegen LD_PRELOAD-Hijacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für LD_PRELOAD-Hijacking?
Übliche alternative Bezeichnungen: ld.so.preload-Missbrauch, Shared-Library-Hijack.