DLL-инъекция
Что такое DLL-инъекция?
DLL-инъекцияТехника инъекции кода, заставляющая целевой процесс Windows загрузить и выполнить подложенную атакующим динамическую библиотеку (DLL).
DLL-инъекция вынуждает работающий процесс отобразить вредоносную DLL в своё адресное пространство, после чего её DllMain или экспортируемая функция исполняется с привилегиями и доверием хост-процесса. Классически используются OpenProcess, VirtualAllocEx и WriteProcessMemory для записи пути к DLL в память цели, затем CreateRemoteThread по адресу LoadLibraryA. К вариантам относятся reflective DLL loading (без файла на диске), SetWindowsHookEx и злоупотребление ключом реестра AppInit_DLLs. MITRE ATT&CK классифицирует технику как T1055.001 в составе Process Injection. Защита: EDR с межпроцессной трассировкой API, ядерные колбэки (PsSetCreateProcessNotifyRoutineEx), Protected Process, подпись кода, блокировка создания удалённых потоков в критичных процессах и мониторинг Sysmon Event 8.
● Примеры
- 01
Бикон Cobalt Strike мигрирует в svchost.exe через инъекцию DLL и CreateRemoteThread.
- 02
Вредоносное ПО злоупотребляет AppInit_DLLs, чтобы подгружать DLL-кейлогер в каждый интерактивный процесс.
● Частые вопросы
Что такое DLL-инъекция?
Техника инъекции кода, заставляющая целевой процесс Windows загрузить и выполнить подложенную атакующим динамическую библиотеку (DLL). Относится к категории Атаки и угрозы в кибербезопасности.
Что означает DLL-инъекция?
Техника инъекции кода, заставляющая целевой процесс Windows загрузить и выполнить подложенную атакующим динамическую библиотеку (DLL).
Как защититься от DLL-инъекция?
Защита от DLL-инъекция обычно сочетает технические меры и операционные практики, как описано в определении выше.