Nepotpisani DLL kao pokazatelj ranjivosti
Osigurati vidljivost je praksa koja je još važnija u legacy scenarijima, kao što je klasična Active Directory mreža, koja omogućava mnoge prilike za eskalaciju privilegija i bočno kretanje.
Najbolji način za postizanje vidljivosti je imati alate za praćenje instalirane na većini IT uređaja - od prijenosnih računala do servera. Danas je standard korištenje Endpoint Detection and Response softvera (EDR) za automatsku detekciju tipičnih pokazatelja ugroženosti u velikom opsegu.
Jedan od tipičnih pokazatelja i doista često korištena tehnika za izvršavanje zlonamjernog koda na zaraženim sustavima je učitavanje zlonamjernog DLL-a. Zlonamjerni DLL-ovi uglavnom su zapisani na neprivilegiranim putanjama i njihov kod nije potpisan od strane pouzdanog autoriteta za potpisivanje koda. Kako bi se izbjeglo otkrivanje, potpisani proces učitava DLL-ove bilo uz pomoć programa posvećenog učitavanju DLL-ova (kao što je rundll32.exe) ili pak izvršne datoteke koja učitava DLL-ove kao dio svoje aktivnosti.
Na slici ispod (kliknite za povećanje) koja prikazuje situaciju na primjeru Palo Alto Networks Cortex XDR-a, napadač koristi legitimnu i potpisanu aplikaciju (u ovom slučaju AvastSvc.exe) za učitavanje zlonamjernog i nepotpisanog DLL-a (wsc.dll).
Ovdje DLL učitava alat za daljinski pristup (RAT- remote access tool) koji napadaču omogućuje daljnje istraživanje i lutanje po ugroženoj mreži.
Naravno, ručna pretraga i analiza ovakvih situacija postaju nemoguće u modernim okruženjima, gdje i broj endpoint-ova i tehnika napada brzo raste. Upravo je zato potrebna automatska analiza i otkrivanje napadačkih tehnika koje se koriste unutar mreže.
EDR ili XDR rješenja pomažu upozoravanjem i blokiranjem ove i drugih tehnika izvršenja koje se koriste na endpoint-ovima, bez obzira je li zlonamjerni softver već poznat ili je viđen prvi put. Navedeno može spriječiti aktivnosti nakon eksploatacije u ranim fazama i otkriti aktere prijetnji na mreži prije nego bude prekasno.
Pročitajte više o nepotpisanom učitavanju DLL-a na Palo Alto Networks Unit 42 blogu.