Перехват DLL
Что такое Перехват DLL?
Перехват DLLАтака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
Перехват DLL (MITRE ATT&CK T1574.001) эксплуатирует механизм поиска динамических библиотек в Windows: если приложение запрашивает DLL по имени без полного пути, загрузчик последовательно проходит предсказуемый список каталогов. Злоумышленник, способный записать вредоносную DLL в одно из более приоритетных мест (каталог приложения, доступный для записи путь PATH, side-by-side каталог), добивается исполнения своего кода в контексте доверенного, часто подписанного процесса. Техника одновременно обеспечивает исполнение и закрепление, обходя многие списки разрешённых приложений. Защита включает полные пути, SafeDllSearchMode, правила WDAC/AppLocker, мониторинг загрузок через Sysmon Event 7 и обновление уязвимых инсталляторов.
● Примеры
- 01
Подкладывание вредоносного version.dll рядом с подписанным инсталлятором, который грузит его из своей папки.
- 02
Размещение DLL в доступном для записи каталоге PATH, который читает системная служба.
● Частые вопросы
Что такое Перехват DLL?
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Перехват DLL?
Атака, использующая порядок поиска DLL в Windows, чтобы легитимная программа загрузила подконтрольную злоумышленнику библиотеку вместо нужной.
Как работает Перехват DLL?
Перехват DLL (MITRE ATT&CK T1574.001) эксплуатирует механизм поиска динамических библиотек в Windows: если приложение запрашивает DLL по имени без полного пути, загрузчик последовательно проходит предсказуемый список каталогов. Злоумышленник, способный записать вредоносную DLL в одно из более приоритетных мест (каталог приложения, доступный для записи путь PATH, side-by-side каталог), добивается исполнения своего кода в контексте доверенного, часто подписанного процесса. Техника одновременно обеспечивает исполнение и закрепление, обходя многие списки разрешённых приложений. Защита включает полные пути, SafeDllSearchMode, правила WDAC/AppLocker, мониторинг загрузок через Sysmon Event 7 и обновление уязвимых инсталляторов.
Как защититься от Перехват DLL?
Защита от Перехват DLL обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Перехват DLL?
Распространённые альтернативные названия: Перехват порядка поиска DLL, Предзагрузка DLL.
● Связанные термины
- attacks№ 200
Перехват COM
Техника закрепления, перенаправляющая разрешение CLSID Windows Component Object Model на код злоумышленника, который выполняется при каждой инстанциации объекта.
- attacks№ 054
AppInit_DLLs
Устаревшая техника закрепления в Windows, использующая значение реестра для загрузки указанной DLL в каждый пользовательский процесс, связанный с user32.dll.
- attacks№ 515
Внедрение через IFEO
Техника закрепления и повышения привилегий, использующая раздел реестра Image File Execution Options для запуска кода злоумышленника при старте целевого исполняемого файла.
- attacks№ 914
Закрепление через раздел Run реестра
Классическая техника закрепления в Windows, добавляющая запись в раздел реестра Run или RunOnce для запуска бинарника или скрипта при каждом входе пользователя.
- attacks№ 862
Инъекция в процесс
Семейство техник обхода защит, при которых атакующий исполняет вредоносный код в адресном пространстве легитимного процесса, наследуя его доверие и идентичность.
- attacks№ 610
Перехват через LD_PRELOAD
Техника закрепления и подмены библиотек в Linux, использующая переменную LD_PRELOAD или /etc/ld.so.preload для внедрения кода в процессы с динамической компоновкой.