| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2024/12/23 13:02]
Starčević Jura [Primjer iskorištavanja ranjivosti i stvarnog napada] |
racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2025/01/24 21:57] (trenutno)
Starčević Jura [Literatura] |
| | ====== Izbjegavanje antivirusa - DLL Sideloading ====== |
| | |
| | |
| ===== Sažetak ===== | ===== Sažetak ===== |
| DLL sideloading je tehnika napada koja iskorištava mehanizam učitavanja Dynamic Link Library (DLL) datoteka u operativnim sustavima poput Windowsa. Napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij legitimne aplikacije, čime zaobilaze sigurnosne mjere i omogućuju izvršenje zlonamjernog koda. Antivirusni programi često ne prepoznaju ovu prijetnju jer napadači koriste valjane digitalne potpise i integriraju zlonamjerni kod u aplikacije koje sustav već prepoznaje kao pouzdane. | DLL sideloading je tehnika napada koja iskorištava mehanizam učitavanja Dynamic Link Library (DLL) datoteka u operativnim sustavima poput Windowsa. Napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij legitimne aplikacije, čime zaobilaze sigurnosne mjere i omogućuju izvršenje zlonamjernog koda. Antivirusni programi često ne prepoznaju ovu prijetnju jer napadači koriste valjane digitalne potpise i integriraju zlonamjerni kod u aplikacije koje sustav već prepoznaje kao pouzdane. |
| Operativni sustavi poput Windowsa učitavaju DLL datoteke pomoću funkcija kao što je `LoadLibrary()`. Tijekom učitavanja, sustav traži DLL datoteku u određenim direktorijima prema unaprijed definiranom redoslijedu (tzv. *search order*). Ovaj mehanizam omogućava veliku fleksibilnost, ali je i ranjiv, što napadači iskorištavaju kako bi izvršili zlonamjerne aktivnosti. | Operativni sustavi poput Windowsa učitavaju DLL datoteke pomoću funkcija kao što je `LoadLibrary()`. Tijekom učitavanja, sustav traži DLL datoteku u određenim direktorijima prema unaprijed definiranom redoslijedu (tzv. *search order*). Ovaj mehanizam omogućava veliku fleksibilnost, ali je i ranjiv, što napadači iskorištavaju kako bi izvršili zlonamjerne aktivnosti. |
| |
| | {{ https://img.freepik.com/premium-vector/modern-flat-design-dll-file-icon-web_599062-6035.jpg?w=200 }}**Slika 1**: Prikaz ikone DLL datoteke[[https://www.freepik.com/premium-vector/modern-flat-design-dll-file-icon-web_36753439.htm|Izvor]] |
| ===== Što je DLL sideloading? ===== | ===== Što je DLL sideloading? ===== |
| DLL sideloading je tehnika u kojoj napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij gdje se nalazi legitimna aplikacija. Kada se aplikacija pokrene, ona automatski učitava zlonamjernu umjesto originalne DLL datoteke. | DLL sideloading je tehnika u kojoj napadači zamjenjuju ili ubacuju zlonamjernu DLL datoteku u direktorij gdje se nalazi legitimna aplikacija. Kada se aplikacija pokrene, ona automatski učitava zlonamjernu umjesto originalne DLL datoteke. |
| |
| ==== Koraci napada ==== | ==== Koraci napada ==== |
| | |
| - **Distribucija zlonamjernog softvera**: Korisnicima je poslana lažna aplikacija koja je trebala služiti za obradu računa. U istom direktoriju s aplikacijom nalazila se zlonamjerna DLL datoteka. | - **Distribucija zlonamjernog softvera**: Korisnicima je poslana lažna aplikacija koja je trebala služiti za obradu računa. U istom direktoriju s aplikacijom nalazila se zlonamjerna DLL datoteka. |
| - **Zamjena DLL datoteke**: Napadači su umjesto originalne DLL datoteke koja je bila odgovorna za funkcionalnosti aplikacije, ubacili zlonamjernu verziju iste datoteke. | - **Zamjena DLL datoteke**: Napadači su umjesto originalne DLL datoteke koja je bila odgovorna za funkcionalnosti aplikacije, ubacili zlonamjernu verziju iste datoteke. |
| - **Izbjegavanje detekcije**: Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada. | - **Izbjegavanje detekcije**: Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada. |
| |
| | {{ https://www.cybereason.com/hs-fs/hubfs/dam/images/images-web/blog-images/DLL-Side-Loading-6.png?width=601&height=260&name=DLL-Side-Loading-6.png }}**Slika 2**: Prikaz DLL sideloadinga [[https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused|Izvor]] |
| ===== Zaštita i prevencija ===== | ===== Zaštita i prevencija ===== |
| Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading. | Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading. |
| * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused) | * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused) |
| * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1) | * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1) |
| | |
| | Video se nalazi na linku: [[https://ferhr-my.sharepoint.com/:v:/g/personal/js53199_fer_hr/EZq93T1nzDJKm9J006QARuYBG_JSrHU7TQ6W-6HJFwEcaQ?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=VSpQqx]] |
| |
