Check Point Software Technologies geht nun mithilfe künstlicher Intelligenz gegen Dynamic-Link-Library (DLL) -Bedrohungen vor. „DeepDLL“ ist ein neues, einzigartiges KI-Modell zur Abwehr von Zero-Day-DLL-Attacken. Die Engine, die anhand von Millionen von Beispielen trainiert wurde, nutzt Threatcloud-AI-Big-Data und erkennt einzigartige, schädliche Merkmale von DLLs. Das Modell wurde bereits in Threatcloud-AI integriert.
Die von „DeepDLL“ extrahierten Merkmale weisen auf potenziell bösartige Aktivitäten hin, die von den Sicherheitsforschern identifiziert wurden, zum Beispiel Dateimetadaten und kompilierte Strukturen (Kommunikation, Verschlüsselung, Codestruktur, usw.). Außerdem erkennt die Engine die Angriffskette der DLL und weiß daher, ob sie per E-Mail oder ZIP-Datei eintrifft, oder von einer ausführbaren Datei abgelegt wird. Schließlich werden alle Merkmale an das neue KI-Modell gesendet, welches die Daten analysiert und Muster erkennt. Durch die Nutzung der Informationen von Threatcloud-AI hat Check Point in den Ergebnissen von „DeepDLL“ eine Trefferquote von 99,7 Prozent erreicht.
DLLs sind eine Art von Dateien in Windows-Betriebssystemen, die Code und Daten enthalten, welche von mehreren Programmen gleichzeitig verwendet werden. Diese Dateien helfen Programmen, ihre Ressourcen effizient zu nutzen und die Gesamtgröße der Software zu verringern. Ihr Nutzen macht sie zu einem verlockenden Ziel für Angreife und daher ist der Missbrauch von DLL-Dateien zu einer beliebten Methode für Hacker geworden, um sich zu verstecken und die Kontrolle über Zielsysteme zu erlangen.
Angreifer manipulieren DLLs, um schädlichen Code in legitime Prozesse einzuschleusen. Im Folgenden eine Aufschlüsselung der häufig verwendeten Techniken:
- DLL-Hijacking: Hierbei platziert ein Angreifer eine bösartige DLL desselben Namens einer legitimen DLL an einem Speicherort, auf den das System zugreift, bevor den Speicherort der echten DLL durchsucht. Wenn das System also ausgeführt wird, lädt es die bösartige DLL und hält sie für die rechtmäßige DLL.
- DLL-Side-Loading: Ähnlich wie beim Hijacking wird bei dieser Technik eine Anwendung dazu verleitet, eine schädliche DLL zu laden, indem sie in ihrem Pfad platziert wird.
- DLL-Einschleusung: Hierbei handelt es sich um einen direkten Ansatz, bei dem schädlicher Code über eine DLL in einen laufenden Prozess injiziert wird, so dass der Angreifer seinen Code im Kontext einer anderen Anwendung ausführen kann.
In einem Anwendungsfall wurde eine DLL-Datei von „DeepDLL“ bei einem Unternehmen in den Niederlanden eindeutig erkannt. Die bösartige DLL, die in einem Microsoft Installationsprogramm (MSI) enthalten war, das auf einen Rechner heruntergeladen worden ist, wurde bei der Ausführung blockiert. Die MSI-Dateien enthielten mehrere Elemente, unter denen auch ein entsprechendes Beispiel gefunden wurde. Es hatte jedoch keine DLL-Erweiterung, wurde aber vom Threat-Emulation-Classifier als DLL identifiziert.
„DeepDLL“ war in der Lage, dieses Beispiel zu verhindern, bevor es die Umgebung des Kunden erreicht hatte, indem es dessen bösartige Funktionen fand. Check Points Kunden, die Quantum- und Harmony-Produkte mit aktivierter Threat-Emulation einsetzen, sind vor den beschriebenen Kampagnen geschützt.
#CheckPoint
