| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2024/12/23 13:16]
Starčević Jura |
racfor_wiki:seminari2024:izbjegavanje_antivirusa_-_dll_sideloading [2025/01/24 21:57] (trenutno)
Starčević Jura [Literatura] |
| - **Izbjegavanje detekcije**: Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada. | - **Izbjegavanje detekcije**: Zlonamjerna DLL datoteka bila je pažljivo dizajnirana kako bi izbjegla detekciju od strane antivirusnih programa. Imala je sličan digitalni potpis kao originalna datoteka, a aplikacija se ponašala normalno, što je otežalo otkrivanje napada. |
| |
| {{ https://www.cybereason.com/hs-fs/hubfs/dam/images/images-web/blog-images/DLL-Side-Loading-6.png?width=601&height=260&name=DLL-Side-Loading-6.png }}**Slika 1**: Prikaz DLL sideloadinga [[https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused|Izvor]] | {{ https://www.cybereason.com/hs-fs/hubfs/dam/images/images-web/blog-images/DLL-Side-Loading-6.png?width=601&height=260&name=DLL-Side-Loading-6.png }}**Slika 2**: Prikaz DLL sideloadinga [[https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused|Izvor]] |
| ===== Zaštita i prevencija ===== | ===== Zaštita i prevencija ===== |
| Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading. | Zaštita od DLL sideloadinga zahtijeva sveobuhvatan pristup koji obuhvaća tehničke mjere, proceduralne smjernice i kontinuiranu edukaciju korisnika. Tehničke mjere uključuju implementaciju "Safe DLL Search Mode" kako bi se smanjila vjerojatnost učitavanja zlonamjernih DLL-ova iz nesigurnih direktorija, validaciju digitalnih potpisa kako bi se osigurala autentičnost datoteka te ograničavanje pristupa direktorijima gdje se nalaze DLL datoteke kako bi se spriječilo njihovo neovlašteno mijenjanje. Redovito ažuriranje operativnih sustava i aplikacija ključno je za uklanjanje poznatih ranjivosti, dok napredni sigurnosni alati, poput Application Whitelistinga, EDR rješenja i SIEM sustava, omogućuju praćenje aktivnosti, detekciju anomalija i brzo reagiranje na potencijalne prijetnje. Dodatno, korištenje sandbox okruženja za izolaciju nepoznatih aplikacija smanjuje rizik širenja zlonamjernih DLL datoteka unutar sustava. Forenzička analiza sustavskih logova i planovi za odgovor na incidente dodatno osiguravaju brzu identifikaciju i sanaciju napada. Edukacija zaposlenika i korisnika ostaje ključna jer mnogi napadi počinju phishing kampanjama; korisnici moraju biti svjesni opasnosti preuzimanja sumnjivih aplikacija i učitavanja neprovjerenih datoteka. Uz to, primjena pravila najmanjeg povjerenja (Zero Trust), gdje se korisnicima omogućava isključivo onaj pristup koji je nužan za njihov posao, dodatno smanjuje mogućnost kompromitiranja sustava. Kombinacija tehničkih mjera, edukacije i stalnog praćenja sigurnosnih prijetnji ključ je uspješne prevencije napada koji koriste DLL sideloading. |
| * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused) | * [Cybereason - DLL Side-Loading](https://www.cybereason.com/blog/threat-analysis-report-dll-side-loading-widely-abused) |
| * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1) | * [Microsoft - Secure Loading of Libraries](https://support.microsoft.com/en-us/topic/secure-loading-of-libraries-to-prevent-dll-preloading-attacks-d41303ec-0748-9211-f317-2edc819682e1) |
| | |
| | Video se nalazi na linku: [[https://ferhr-my.sharepoint.com/:v:/g/personal/js53199_fer_hr/EZq93T1nzDJKm9J006QARuYBG_JSrHU7TQ6W-6HJFwEcaQ?nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJPbmVEcml2ZUZvckJ1c2luZXNzIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXciLCJyZWZlcnJhbFZpZXciOiJNeUZpbGVzTGlua0NvcHkifX0&e=VSpQqx]] |
| |
