{"id":32802,"date":"2025-10-15T15:35:18","date_gmt":"2025-10-15T13:35:18","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32802"},"modified":"2025-10-15T15:35:57","modified_gmt":"2025-10-15T13:35:57","slug":"dll-hijacking-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dll-hijacking-in-kaspersky-siem\/32802\/","title":{"rendered":"Erkennung von DLL-Hijacking"},"content":{"rendered":"

Cyberkriminelle nutzen verschiedene Techniken, um Sicherheitsl\u00f6sungen hinters Licht zu f\u00fchren und b\u00f6sartige Aktivit\u00e4ten zu verschleiern. In den letzten Jahren f\u00e4llt bei Angriffen auf Windows-Systeme immer h\u00e4ufiger eine Methode auf: DLL-Hijacking<\/a>. Es geht aber nicht etwa um entf\u00fchrte Bibliotheken, sondern Dynamic Link Libraries (DLLs, dynamische Programmbibliotheken) werden durch b\u00f6sartige Bibliotheken ersetzt. Herk\u00f6mmlichen Sicherheitstools entgeht die Verwendung dieser Methode oft. Unsere Kollegen vom Kaspersky AI Technology Research Center haben sich das Problem genauer angeschaut und ein Modell f\u00fcr maschinelles Lernen entwickelt, das DLL-Hijacking sehr zuverl\u00e4ssig erkennen kann. Das Modell wurde bereits in die neueste Version unseres SIEM-Systems Kaspersky Unified Monitoring and Analysis Platform<\/a> implementiert. In diesem Artikel erl\u00e4utern wir, welche Herausforderungen die Erkennung von DLL-Hijacking bereith\u00e4lt und wie unsere Technologie damit umgeht.<\/p>\n

Wie DLL-Hijacking funktioniert und warum es so schwer zu erkennen ist<\/h2>\n

Was passiert, wenn eine unbekannte Datei pl\u00f6tzlich in einer Windows-Umgebung gestartet wird? Die Sicherheitsprogramme reagieren planm\u00e4\u00dfig oder der Start wird einfach blockiert. Der Trick beim DLL-Hijacking: Eine b\u00f6sartige Datei gibt sich als bekannte und vertrauensw\u00fcrdige Datei aus. DLL-Hijacking gibt es in verschiedenen Varianten: Angreifer k\u00f6nnen eine b\u00f6sartige Bibliothek zusammen mit legitimer Software verteilen (DLL-Sideloading<\/a>), damit die Software sie ausf\u00fchrt. Oder Standard-DLLs, die f\u00fcr bereits installierte Programme vorgesehen sind, werden ersetzt. Manchmal werden auch Systemmechanismen manipuliert, die den Speicherort der Bibliothek festlegen, die ein Prozess laden und ausf\u00fchren soll. Dadurch startet ein legitimer Prozess die b\u00f6sartige DLL-Datei innerhalb seines eigenen Adressraums und mit seinen Berechtigungen. Und die \u00fcblichen Schutzsysteme betrachten diese Aktivit\u00e4t als legitim. Grund genug f\u00fcr unsere Experten, diese Bedrohung durch den Einsatz von KI-Technologien zu bek\u00e4mpfen.<\/p>\n

Erkennung von DLL-Hijacking mit ML<\/h2>\n

Die Experten des AI Technology Research Center trainierten ein ML-Modell und nutzten indirekte Informationen \u00fcber Bibliotheken und aktive Prozesse, um DLL-Hijacking zu erkennen. Sie identifizierten die wichtigsten Indikatoren, die auf manipulierte Bibliotheken hinweisen. Dazu dienen unter anderem folgende Fragen: Befinden sich die ausf\u00fchrbare Datei und die Bibliothek an den Standardpfaden? Wurde die Datei umbenannt? Haben sich Gr\u00f6\u00dfe und Struktur der Bibliothek ver\u00e4ndert? Stimmt die digitale Signatur der Bibliothek? Zuerst trainierten sie das Modell mit Daten zum Ladevorgang von Dynamic Link Libraries. Solche Daten stammen sowohl aus internen automatischen Analysesystemen als auch aus anonymisierten Telemetriedaten von Kaspersky Security Network (KSN)<\/a>, die unsere Nutzer freiwillig zur Verf\u00fcgung stellen. Zur Kennzeichnung verwendeten unsere Experten Informationen aus unseren Datenbanken zur Reputation von Dateien.<\/p>\n

Das erste Modell war noch ungenau. Bevor es zu unserer L\u00f6sung hinzugef\u00fcgt wurde, experimentierten unsere Experten mit mehreren Modellversionen und pr\u00e4zisierten sowohl die Kennzeichnung der Trainings-Datens\u00e4tze als auch die Merkmale, die auf DLL-Hijacking hinweisen. Inzwischen erkennt das Modell die beschriebenen Manipulationsversuche mit hoher Genauigkeit. In einem Securelist-Artikel<\/a> beschreiben unsere Kollegen ausf\u00fchrlich, wie sie diese Technologie entwickelt haben \u2013 von der urspr\u00fcnglichen Hypothese bis zu Tests in Kaspersky Managed Detection and Response<\/a> und dem praktischen Einsatz in unserer SIEM-Plattform.<\/p>\n

Erkennung von DLL-Hijacking in Kaspersky SIEM<\/h2>\n

Im SIEM-System analysiert das Modell die Telemetrie-Metadaten der geladenen DLLs und der beteiligten Prozesse. Verd\u00e4chtige F\u00e4lle werden gekennzeichnet und das Ergebnis wird mit KSN-Cloud-Daten verglichen. Dadurch verbessert sich nicht nur die Genauigkeit der Erkennung von DLL-Hijacking, sondern es gibt auch weniger Fehlalarme. Das Modell kann im Korrelations-Subsystem und im Ereigniserfassungs-Subsystem ausgef\u00fchrt werden.<\/p>\n

Im ersten Fall werden nur die Ereignisse \u00fcberpr\u00fcft, die bereits Korrelationsregeln ausgel\u00f6st haben. Dies erm\u00f6glicht eine genauere Bedrohungsbewertung, und bei Bedarf k\u00f6nnen Warnungen schneller generiert werden. Da nicht alle Ereignisse \u00fcberpr\u00fcft werden, wird die Reaktionsgeschwindigkeit des Modells nur unwesentlich durch die Anzahl der Cloud-Abfragen beeinflusst.<\/p>\n

Im zweiten Fall verarbeitet das Modell alle Ereignisse, bei denen Bibliotheken geladen werden, die bestimmte Bedingungen erf\u00fcllen. Diese Methode verbraucht mehr Ressourcen, ist jedoch f\u00fcr retrospektives Threat Hunting von unsch\u00e4tzbarem Wert.<\/p>\n

Zu diesem Thema empfehlen wir einen weiteren Securelist-Artikel<\/a> unserer Kollegen von der Anti-Malware Research Group. Dort findest du konkrete Beispiele f\u00fcr die fr\u00fchzeitige Vorfallerkennung und erf\u00e4hrst, wie das Erkennungsmodell f\u00fcr DLL-Hijacking in Kaspersky SIEM gezielte Angriffe abf\u00e4ngt.<\/p>\n

Nicht zu vergessen: Die Genauigkeit des Modells beruht darauf, wie viele Daten \u00fcber Bedrohungen und legitime Prozesse erfasst werden und wie die KSN-Algorithmen weiterentwickelt werden.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Unsere Experten haben ein ML-Modell trainiert, um DLL-Hijacking-Versuche zu erkennen, und dieses Modell in das Kaspersky SIEM-System integriert.<\/p>\n","protected":false},"author":2706,"featured_media":32804,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,8,2287],"tags":[2426,4236,4237,3849,3294],"class_list":{"0":"post-32802","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-products","10":"category-technology","11":"tag-amr","12":"tag-dll","13":"tag-ki-technologie-forschung","14":"tag-ml","15":"tag-siem"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dll-hijacking-in-kaspersky-siem\/32802\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dll-hijacking-in-kaspersky-siem\/29705\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/24776\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/12866\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dll-hijacking-in-kaspersky-siem\/29593\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/28642\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dll-hijacking-in-kaspersky-siem\/31527\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dll-hijacking-in-kaspersky-siem\/30185\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dll-hijacking-in-kaspersky-siem\/40637\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/dll-hijacking-in-kaspersky-siem\/13884\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/54534\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/dll-hijacking-in-kaspersky-siem\/23281\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dll-hijacking-in-kaspersky-siem\/29807\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dll-hijacking-in-kaspersky-siem\/35536\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dll-hijacking-in-kaspersky-siem\/35160\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32802","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32802"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32802\/revisions"}],"predecessor-version":[{"id":32814,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32802\/revisions\/32814"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32804"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32802"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32802"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32802"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}