Erkennung von DLL-Hijacking

Unsere Experten haben ein ML-Modell trainiert, um DLL-Hijacking-Versuche zu erkennen, und dieses Modell in das Kaspersky SIEM-System integriert.

Erkennung von DLL-Hijacking mit ML

Cyberkriminelle nutzen verschiedene Techniken, um Sicherheitslösungen hinters Licht zu führen und bösartige Aktivitäten zu verschleiern. In den letzten Jahren fällt bei Angriffen auf Windows-Systeme immer häufiger eine Methode auf: DLL-Hijacking. Es geht aber nicht etwa um entführte Bibliotheken, sondern Dynamic Link Libraries (DLLs, dynamische Programmbibliotheken) werden durch bösartige Bibliotheken ersetzt. Herkömmlichen Sicherheitstools entgeht die Verwendung dieser Methode oft. Unsere Kollegen vom Kaspersky AI Technology Research Center haben sich das Problem genauer angeschaut und ein Modell für maschinelles Lernen entwickelt, das DLL-Hijacking sehr zuverlässig erkennen kann. Das Modell wurde bereits in die neueste Version unseres SIEM-Systems Kaspersky Unified Monitoring and Analysis Platform implementiert. In diesem Artikel erläutern wir, welche Herausforderungen die Erkennung von DLL-Hijacking bereithält und wie unsere Technologie damit umgeht.

Wie DLL-Hijacking funktioniert und warum es so schwer zu erkennen ist

Was passiert, wenn eine unbekannte Datei plötzlich in einer Windows-Umgebung gestartet wird? Die Sicherheitsprogramme reagieren planmäßig oder der Start wird einfach blockiert. Der Trick beim DLL-Hijacking: Eine bösartige Datei gibt sich als bekannte und vertrauenswürdige Datei aus. DLL-Hijacking gibt es in verschiedenen Varianten: Angreifer können eine bösartige Bibliothek zusammen mit legitimer Software verteilen (DLL-Sideloading), damit die Software sie ausführt. Oder Standard-DLLs, die für bereits installierte Programme vorgesehen sind, werden ersetzt. Manchmal werden auch Systemmechanismen manipuliert, die den Speicherort der Bibliothek festlegen, die ein Prozess laden und ausführen soll. Dadurch startet ein legitimer Prozess die bösartige DLL-Datei innerhalb seines eigenen Adressraums und mit seinen Berechtigungen. Und die üblichen Schutzsysteme betrachten diese Aktivität als legitim. Grund genug für unsere Experten, diese Bedrohung durch den Einsatz von KI-Technologien zu bekämpfen.

Erkennung von DLL-Hijacking mit ML

Die Experten des AI Technology Research Center trainierten ein ML-Modell und nutzten indirekte Informationen über Bibliotheken und aktive Prozesse, um DLL-Hijacking zu erkennen. Sie identifizierten die wichtigsten Indikatoren, die auf manipulierte Bibliotheken hinweisen. Dazu dienen unter anderem folgende Fragen: Befinden sich die ausführbare Datei und die Bibliothek an den Standardpfaden? Wurde die Datei umbenannt? Haben sich Größe und Struktur der Bibliothek verändert? Stimmt die digitale Signatur der Bibliothek? Zuerst trainierten sie das Modell mit Daten zum Ladevorgang von Dynamic Link Libraries. Solche Daten stammen sowohl aus internen automatischen Analysesystemen als auch aus anonymisierten Telemetriedaten von Kaspersky Security Network (KSN), die unsere Nutzer freiwillig zur Verfügung stellen. Zur Kennzeichnung verwendeten unsere Experten Informationen aus unseren Datenbanken zur Reputation von Dateien.

Das erste Modell war noch ungenau. Bevor es zu unserer Lösung hinzugefügt wurde, experimentierten unsere Experten mit mehreren Modellversionen und präzisierten sowohl die Kennzeichnung der Trainings-Datensätze als auch die Merkmale, die auf DLL-Hijacking hinweisen. Inzwischen erkennt das Modell die beschriebenen Manipulationsversuche mit hoher Genauigkeit. In einem Securelist-Artikel beschreiben unsere Kollegen ausführlich, wie sie diese Technologie entwickelt haben – von der ursprünglichen Hypothese bis zu Tests in Kaspersky Managed Detection and Response und dem praktischen Einsatz in unserer SIEM-Plattform.

Erkennung von DLL-Hijacking in Kaspersky SIEM

Im SIEM-System analysiert das Modell die Telemetrie-Metadaten der geladenen DLLs und der beteiligten Prozesse. Verdächtige Fälle werden gekennzeichnet und das Ergebnis wird mit KSN-Cloud-Daten verglichen. Dadurch verbessert sich nicht nur die Genauigkeit der Erkennung von DLL-Hijacking, sondern es gibt auch weniger Fehlalarme. Das Modell kann im Korrelations-Subsystem und im Ereigniserfassungs-Subsystem ausgeführt werden.

Im ersten Fall werden nur die Ereignisse überprüft, die bereits Korrelationsregeln ausgelöst haben. Dies ermöglicht eine genauere Bedrohungsbewertung, und bei Bedarf können Warnungen schneller generiert werden. Da nicht alle Ereignisse überprüft werden, wird die Reaktionsgeschwindigkeit des Modells nur unwesentlich durch die Anzahl der Cloud-Abfragen beeinflusst.

Im zweiten Fall verarbeitet das Modell alle Ereignisse, bei denen Bibliotheken geladen werden, die bestimmte Bedingungen erfüllen. Diese Methode verbraucht mehr Ressourcen, ist jedoch für retrospektives Threat Hunting von unschätzbarem Wert.

Zu diesem Thema empfehlen wir einen weiteren Securelist-Artikel unserer Kollegen von der Anti-Malware Research Group. Dort findest du konkrete Beispiele für die frühzeitige Vorfallerkennung und erfährst, wie das Erkennungsmodell für DLL-Hijacking in Kaspersky SIEM gezielte Angriffe abfängt.

Nicht zu vergessen: Die Genauigkeit des Modells beruht darauf, wie viele Daten über Bedrohungen und legitime Prozesse erfasst werden und wie die KSN-Algorithmen weiterentwickelt werden.

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder