Нейросетевая модель для обнаружения атак DLL Hijacking интегрирована в Kaspersky SIEM

Принцип работы модели основан на пошаговой проверке всех DLL-библиотек, загружаемых процессами в системе, с последующей валидацией в облаке Kaspersky Security Network (KSN). Такой подход позволяет сочетать локальные атрибуты - путь, имя процесса и хеш-суммы файлов - с глобальной базой знаний и поведенческими индикаторами, что значительно повышает качество обнаружения и снижает вероятность ложных срабатываний.

Модель может работать в одном из двух режимов: на корреляторе или на коллекторе. Коррелятор - компонент SIEM, выполняющий анализ событий и корреляцию на основе предопределенных правил или алгоритмов. При обнаружении на корреляторе модель проверяет только события, которые уже вызвали срабатывание правила, что уменьшает объем запросов к KSN и время отклика модели.

При настройке обнаружения на коллекторе - программном или аппаратном компоненте платформы SIEM, который собирает и нормализует события из различных источников - модель обрабатывает все события, связанные с загрузкой библиотек различными процессами. Этот метод потребляет больше ресурсов, и время отклика модели увеличивается, однако он полезен для ретроспективного поиска угроз, поскольку позволяет проверять все события, зарегистрированные Kaspersky SIEM.

Важно отметить, что модель не ограничивается бинарной оценкой "вредоносный/не вредоносный", а ранжирует ответы по уровню достоверности. Это позволяет использовать ее как гибкий инструмент в практике Security Operations Center (SOC). Примеры возможных вердиктов: 0 - данные обрабатываются; 1 - вредоносность не подтверждена; 2 - подозрительная библиотека; 3 - вредоносность подтверждена.

Внедрение модели в коррелятор Kaspersky SIEM автоматизирует процесс поиска атак DLL Hijacking, делая возможным их обнаружение в масштабе без необходимости ручного анализа сотен или тысяч загруженных библиотек. Кроме того, в сочетании с правилами корреляции и источниками телеметрии, модель может использоваться не только как самостоятельный модуль, но и как часть комплексной защиты от атак на инфраструктуру.

Перед выпуском модель в составе платформы Kaspersky SIEM тестировалась в службе MDR, где обучалась выявлять атаки на больших наборах данных, поставляемых телеметрией Kaspersky Lab. Этот шаг был необходим для обеспечения работы обнаружения не только в лабораторных условиях, но и в реальных инфраструктурах клиентов.

В ходе пилотного тестирования была проверена устойчивость модели к ложным срабатываниям и ее способность правильно классифицировать поведение даже в нетипичных сценариях загрузки DLL. В результате было успешно обнаружено несколько реальных инцидентов, где злоумышленники использовали технику DLL Sideloading для получения устойчивости и выполнения своего кода в системе.

В одном из инцидентов атакующие успешно использовали уязвимость CVE-2021-27076 для эксплуатации службы SharePoint, использующей IIS в качестве веб-сервера. После эксплуатации процесс IIS создал файлы, которые позже использовались для запуска вредоносного кода через технику DLL sideloading. Была создана запланированная задача, замаскированная под обновление браузера Microsoft Edge, которая запускала файл SystemSettings.exe, расположенный в том же каталоге, что и вредоносная библиотека. Анализ показал, что библиотека является имплантом Cobalt Strike, а процесс пытался подключиться к командному серверу злоумышленников. На основе тактик, техник и процедур (TTPs) атакующих, таких как загрузка Cobalt Strike в виде DLL, использование техники DLL sideloading и эксплуатация SharePoint, можно с высокой степенью уверенности утверждать, что за атакой стояла APT-группа ToddyCat.

В другом примере, обнаруженном моделью после подключения клиента к мониторингу MDR, легитимный системный файл, расположенный в папке приложения, пытался загрузить подозрительную библиотеку, хранившуюся рядом с ним. Анализ файла библиотеки, загруженной этим процессом, показал, что это вредоносная программа, предназначенная для кражи информации из браузеров. Файл напрямую обращался к файлам браузера, содержащим пользовательские данные.

Еще один инцидент, обнаруженный моделью, произошел, когда пользователь подключил съемный USB-накопитель. В каталоге подключенного диска находились скрытые папки с одинаково названным ярлыком для каждой из них. Поскольку расширения файлов по умолчанию не отображались на диске, пользователь мог принять ярлык за папку и запустить его. В свою очередь, ярлык открывал соответствующую скрытую папку и запускал исполняемый файл. Легитимный исполняемый файл Avast Antivirus через DLL sideloading загружал библиотеку wsc.dll, которая являлась вредоносным загрузчиком. Загрузчик открывал файл с именем AvastAuth.dat, содержащий зашифрованный бэкдор, читал данные из файла в память, расшифровывал и выполнял их.

Интеграция модели в продукт предоставила средства раннего и точного обнаружения попыток DLL Hijacking, которые ранее могли остаться незамеченными. Даже в ходе пилотного тестирования модель доказала свою эффективность, выявив несколько инцидентов с использованием этой техники. В дальнейшем ее точность будет только возрастать по мере накопления данных и обновления алгоритмов в KSN, что делает этот механизм надежным элементом проактивной защиты корпоративных систем.

MD5

• 831252e7fa9bd6fa174715647ebce516
• e83f331bd1ec115524ebff7043795bbe
• ea2882b05f8c11a285426f90859f23c6

SHA1

• 04c3fc8bfb341df6ee065623bb4f79b315ab07db
• 4596809d94e3c54d8cbca48e217802ca77f168e1
• bf8c5bf141f0db53000805f2629e6e031d137ceb

SHA256

• 6491c646397025bf02709f1bd3025f1622abdc89b550ac38ce6fac938353b954
• b652b99dd669c3bc4b92ca886854237d76d0eed130726970ab61e0b5a2e7b1c7
• d4d8fcc3df57e0c2e2b85101f875b31d8a79937434e1e29843ddbff3890d5d88