Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2024/12/23 12:36]
Starčević Jura [Koraci napada] 		racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2025/01/24 21:57] (trenutno)
Starčević Jura [Literatura]
Redak 1: Redak 1:
 +====== Izbjegavanje antivirusa - DLL Sideloading ======
 +
 +
 ===== Sažetak ===== ===== Sažetak =====
 DLL sideloading je tehnika napada koja iskorištava mehanizam učitavanja Dynamic Link Library (DLL) datoteka u operativnim sustavima poput Windowsa. Napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij legitimne aplikacije, čime zaobilaze sigurnosne mjere i omogućuju izvršenje zlonamjernog koda. Antivirusni programi često ne prepoznaju ovu prijetnju jer napadači koriste valjane digitalne potpise i integriraju zlonamjerni kod u aplikacije koje sustav već prepoznaje kao pouzdane. DLL sideloading je tehnika napada koja iskorištava mehanizam učitavanja Dynamic Link Library (DLL) datoteka u operativnim sustavima poput Windowsa. Napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij legitimne aplikacije, čime zaobilaze sigurnosne mjere i omogućuju izvršenje zlonamjernog koda. Antivirusni programi često ne prepoznaju ovu prijetnju jer napadači koriste valjane digitalne potpise i integriraju zlonamjerni kod u aplikacije koje sustav već prepoznaje kao pouzdane.
Redak 20: Redak 23:
 Operativni sustavi poput Windowsa učitavaju DLL datoteke pomoću funkcija kao što je `LoadLibrary()`. Tijekom učitavanja, sustav traži DLL datoteku u određenim direktorijima prema unaprijed definiranom redoslijedu (tzv. *search order*). Ovaj mehanizam omogućava veliku fleksibilnost, ali je i ranjiv, što napadači iskorištavaju kako bi izvršili zlonamjerne aktivnosti. Operativni sustavi poput Windowsa učitavaju DLL datoteke pomoću funkcija kao što je `LoadLibrary()`. Tijekom učitavanja, sustav traži DLL datoteku u određenim direktorijima prema unaprijed definiranom redoslijedu (tzv. *search order*). Ovaj mehanizam omogućava veliku fleksibilnost, ali je i ranjiv, što napadači iskorištavaju kako bi izvršili zlonamjerne aktivnosti.
  
 +{{ https://img.freepik.com/premium-vector/modern-flat-design-dll-file-icon-web_599062-6035.jpg?w=200 }}**Slika 1**: Prikaz ikone DLL datoteke[[https://www.freepik.com/premium-vector/modern-flat-design-dll-file-icon-web_36753439.htm|Izvor]]
 ===== Što je DLL sideloading? ===== ===== Što je DLL sideloading? =====
 DLL sideloading je tehnika u kojoj napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij gdje se nalazi legitimna aplikacija. Kada se aplikacija pokrene, ona automatski učitava zlonamjernu umjesto originalne DLL datoteke. DLL sideloading je tehnika u kojoj napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij gdje se nalazi legitimna aplikacija. Kada se aplikacija pokrene, ona automatski učitava zlonamjernu umjesto originalne DLL datoteke.
Redak 33: Redak 37:
 ===== Primjer iskorištavanja ranjivosti i stvarnog napada ===== ===== Primjer iskorištavanja ranjivosti i stvarnog napada =====
 Lazarus Grupa je 2019. iskoristila tehniku DLL sideloadinga u napadu na financijske institucije u jugoistočnoj Aziji. Napad je započeo phishing e-mailovima koji su korisnike naveli da preuzmu lažnu aplikaciju za obradu financijskih podataka. Aplikacija je izgledala legitimno i dolazila je s digitalnim potpisom koji je dodatno uvjerio korisnike u njezinu autentičnost. Lazarus Grupa je 2019. iskoristila tehniku DLL sideloadinga u napadu na financijske institucije u jugoistočnoj Aziji. Napad je započeo phishing e-mailovima koji su korisnike naveli da preuzmu lažnu aplikaciju za obradu financijskih podataka. Aplikacija je izgledala legitimno i dolazila je s digitalnim potpisom koji je dodatno uvjerio korisnike u njezinu autentičnost.
 +
  
 ==== Koraci napada ==== ==== Koraci napada ====
  
-Distribucija zlonamjernog softvera   +  -  **Distribucija zlonamjernog softvera**: Korisnicima je poslana lažna aplikacija koja je trebala služiti za obradu računa. U istom direktoriju s aplikacijom nalazila se zlonamjerna DLL datoteka. 
-Korisnicima je poslana lažna aplikacija koja je trebala služiti za obradu računa. U istom direktoriju s aplikacijom nalazila se zlonamjerna DLL datoteka. +   **Zamjena DLL datoteke**: Napadači su umjesto originalne DLL datoteke koja je bila odgovorna za funkcionalnosti aplikacije, ubacili zlonamjernu verziju iste datoteke. 
- +   **Izvršenje zlonamjernog koda**: Kada su korisnici pokrenuli aplikaciju, ona je učitala DLL iz lokalnog direktorija prema standardnom redoslijedu pretraživanja DLL-ova u Windowsu. Zlonamjerna DLL datoteka omogućila je napadačima sljedeće: 
-Zamjena DLL datoteke   +         Krađu osjetljivih podataka iz sustava 
-Napadači su umjesto originalne DLL datoteke koja je bila odgovorna za funkcionalnosti aplikacije, ubacili zlonamjernu verziju iste datoteke. +         Preuzimanje dodatnih zlonamjernih alata sa zaraženog poslužitelja 
- +        *Proširenje pristupa na druge dijelove mreže 
-Izvršenje zlonamjernog koda   +   **Izbjegavanje detekcije**: Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada.
-Kada su korisnici pokrenuli aplikaciju, ona je učitala DLL iz lokalnog direktorija prema standardnom redoslijedu pretraživanja DLL-ova u Windowsu. Zlonamjerna DLL datoteka omogućila je napadačima sljedeće: +
-  * Krađu osjetljivih podataka iz sustava +
-  * Preuzimanje dodatnih zlonamjernih alata sa zaraženog poslužitelja +
-  * Proširenje pristupa na druge dijelove mreže +
- +
-Izbjegavanje detekcije   +
-Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada. +
- +
  
 +{{ https://www.cybereason.com/hs-fs/hubfs/dam/images/images-web/blog-images/DLL-Side-Loading-6.png?width=601&height=260&name=DLL-Side-Loading-6.png }}**Slika 2**: Prikaz DLL sideloadinga [[https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused|Izvor]]
 ===== Zaštita i prevencija ===== ===== Zaštita i prevencija =====
 Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading. Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading.
Redak 65: Redak 62:
   * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused)   * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused)
   * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1)   * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1)
 +
 +Video se nalazi na linku: [[https://ferhr-my.sharepoint.com/:v:/g/personal/js53199_fer_hr/EZq93T1nzDJKm9J006QARuYBG_JSrHU7TQ6W-6HJFwEcaQ?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=VSpQqx]]
  
racfor_wiki/seminari2024/izbjegavanje_antivirusa_-_dll_sideloading.1734957397.txt.gz · Zadnja izmjena: 2024/12/23 12:36 od Starčević Jura
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0