DeepDLL gegen verseuchte DLL-Dateien

Check Point geht mithilfe künstlicher Intelligenz gegen Dynamic Link Library (DLL)-Bedrohungen vor. DeepDLL ist ein KI-Modell zur Abwehr von Zero Day DLL-Attacken. Die Engine, die anhand von Millionen von Beispielen trainiert wurde, nutzt ThreatCloud AI Big Data und erkennt schädliche Merkmale von DLLs.

DLLs sind eine Art von Dateien in Windows-Betriebssystemen, die Code und Daten enthalten, welche von mehreren Programmen gleichzeitig verwendet werden. Diese Dateien helfen Programmen, ihre Ressourcen effizient zu nutzen und die Gesamtgröße der Software zu verringern. Ihr Nutzen macht sie zu einem verlockenden Ziel für Angreife und daher ist der Missbrauch von DLL-Dateien zu einer beliebten Methode für Hacker geworden, um sich zu verstecken und die Kontrolle über Zielsysteme zu erlangen.

Hinweis auf potenziell bösartige Aktivitäten

Die von DeepDLL extrahierten Merkmale weisen auf potenziell bösartige Aktivitäten hin, die von den Sicherheitsforschern identifiziert wurden, zum Beispiel Dateimetadaten und kompilierte Strukturen (Kommunikation, Verschlüsselung, Codestruktur, usw.). Außerdem erkennt die Engine die Angriffskette der DLL und weiß daher, ob sie per E-Mail oder ZIP-Datei eintrifft, oder von einer ausführbaren Datei abgelegt wird. Schließlich werden alle Merkmale an das neue KI-Modell gesendet, welches die Daten analysiert und Muster erkennt. Nach eigenen Ausagen von Check Point erreicht DeepDLL eine Trefferquote von 99,7 Prozent.

In einem Anwendungsfall wurde eine DLL-Datei von DeepDLL bei einem Unternehmen in den Niederlanden eindeutig erkannt. Die bösartige DLL, die in einem Microsoft Installationsprogramm (MSI) enthalten war, das auf einen Rechner heruntergeladen worden ist, wurde bei der Ausführung blockiert. Die MSI-Dateien enthielten mehrere Elemente, unter denen auch ein entsprechendes Beispiel gefunden wurde. Es hatte jedoch keine DLL-Erweiterung, wurde aber vom Threat Emulation Classifier als DLL identifiziert.

DLL-Techniken

Angreifer manipulieren DLLs, um schädlichen Code in legitime Prozesse einzuschleusen, und verwenden folgende Techniken:

DLL-Hijacking
Hierbei platziert ein Angreifer eine bösartige DLL desselben Namens einer legitimen DLL an einem Speicherort, auf den das System zugreift, bevor den Speicherort der echten DLL durchsucht. Wenn das System also ausgeführt wird, lädt es die bösartige DLL und hält sie für die rechtmäßige DLL.

DLL-Side-Loading
Ähnlich wie beim Hijacking wird bei dieser Technik eine Anwendung dazu verleitet, eine schädliche DLL zu laden, indem sie in ihrem Pfad platziert wird.

DLL-Einschleusung
Hierbei handelt es sich um einen direkten Ansatz, bei dem schädlicher Code über eine DLL in einen laufenden Prozess injiziert wird, so dass der Angreifer seinen Code im Kontext einer anderen Anwendung ausführen kann.

Roger Homrich

Recent Posts

Top-Malware im Januar: Infostealer Formbook kehrt zurück

Formbook ist für 16,5 Prozent der Malware-Infektion in Deutschland verantwortlich. Zudem registriert Check Point eine…

13 Stunden ago

Apple droht Ärger mit dem Bundeskartellamt

Die Wettbewerbshüter nehmen Apples App Tracking Transparency Framework ins Visier. Sie werfen Apple vor, damit…

17 Stunden ago

Phishing-Betrug zum Valentinstag nimmt zu

Im Januar werden über 18.000 neue Websites zum Thema Liebe und Valentinstag registriert. Auch die…

1 Tag ago

Sicherheitslücke in AWS erlaubt Angriffe auf Amazon-Cloud-Instanzen

Angreifer schleusen schädliche Amazon Machine Images ein und tarnen diese als offizielle AWS-Images. Sie erhalten…

2 Tagen ago

Google stopft schwerwiegende Sicherheitslöcher in Chrome 133

Chrome für Windows, macOS und Linux sind angreifbar. Für eine der vier Schwachstelle zahlt Google…

2 Tagen ago

Ionos baut seinen AI Model Hub weiter aus

Interessenten bekommen Zugriff auf die Open-Source-Modelle Teuken-7B und Llama 3.3 70B. Kostenfreie Tests bis Ende…

2 Tagen ago