Injection de DLL
Qu'est-ce que Injection de DLL ?
Injection de DLLTechnique d'injection de code forcant un processus Windows cible a charger et executer une bibliotheque dynamique (DLL) fournie par l'attaquant.
L'injection de DLL force un processus en cours d'execution a mapper une DLL malveillante dans son espace d'adressage; la DllMain ou une fonction exportee s'execute alors avec les privileges et l'identite du processus hote. Les implementations classiques utilisent OpenProcess, VirtualAllocEx et WriteProcessMemory pour ecrire le chemin de la DLL, puis CreateRemoteThread sur LoadLibraryA. Les variantes incluent le chargement de DLL reflectif (sans fichier sur disque), SetWindowsHookEx et l'abus de la cle registre AppInit_DLLs. MITRE ATT&CK la suit sous T1055.001 (Process Injection). Les defenses incluent un EDR capable de tracing cross-process, des callbacks kernel (PsSetCreateProcessNotifyRoutineEx), les processus proteges, la signature de code, le blocage de creations de threads distants dans les processus critiques et la surveillance du Sysmon event 8.
● Exemples
- 01
Un beacon Cobalt Strike migrant vers svchost.exe via injection de DLL et CreateRemoteThread.
- 02
Un malware abusant d'AppInit_DLLs pour charger une DLL de vol d'identifiants dans chaque processus interactif.
● Questions fréquentes
Qu'est-ce que Injection de DLL ?
Technique d'injection de code forcant un processus Windows cible a charger et executer une bibliotheque dynamique (DLL) fournie par l'attaquant. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Injection de DLL ?
Technique d'injection de code forcant un processus Windows cible a charger et executer une bibliotheque dynamique (DLL) fournie par l'attaquant.
Comment fonctionne Injection de DLL ?
L'injection de DLL force un processus en cours d'execution a mapper une DLL malveillante dans son espace d'adressage; la DllMain ou une fonction exportee s'execute alors avec les privileges et l'identite du processus hote. Les implementations classiques utilisent OpenProcess, VirtualAllocEx et WriteProcessMemory pour ecrire le chemin de la DLL, puis CreateRemoteThread sur LoadLibraryA. Les variantes incluent le chargement de DLL reflectif (sans fichier sur disque), SetWindowsHookEx et l'abus de la cle registre AppInit_DLLs. MITRE ATT&CK la suit sous T1055.001 (Process Injection). Les defenses incluent un EDR capable de tracing cross-process, des callbacks kernel (PsSetCreateProcessNotifyRoutineEx), les processus proteges, la signature de code, le blocage de creations de threads distants dans les processus critiques et la surveillance du Sysmon event 8.
Comment se défendre contre Injection de DLL ?
Les défenses contre Injection de DLL combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
● Termes liés
- attacks№ 862
Injection de processus
Famille de techniques d'evasion ou un attaquant execute du code malveillant dans l'espace memoire d'un processus legitime pour heriter de sa confiance et de son identite.
- malware№ 417
Malware sans fichier
Logiciel malveillant qui s'exécute principalement en mémoire et exploite des outils système légitimes, en évitant les exécutables traditionnels sur disque.
- malware№ 649
Logiciel malveillant
Tout logiciel conçu intentionnellement pour perturber, endommager ou accéder sans autorisation à des ordinateurs, des réseaux ou des données.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- defense-ops№ 298
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.