DeepDLL gegen verseuchte DLL-Dateien

Check Point geht mithilfe künstlicher Intelligenz gegen Dynamic Link Library (DLL)-Bedrohungen vor. DeepDLL ist ein KI-Modell zur Abwehr von Zero Day DLL-Attacken. Die Engine, die anhand von Millionen von Beispielen trainiert wurde, nutzt ThreatCloud AI Big Data und erkennt schädliche Merkmale von DLLs.

DLLs sind eine Art von Dateien in Windows-Betriebssystemen, die Code und Daten enthalten, welche von mehreren Programmen gleichzeitig verwendet werden. Diese Dateien helfen Programmen, ihre Ressourcen effizient zu nutzen und die Gesamtgröße der Software zu verringern. Ihr Nutzen macht sie zu einem verlockenden Ziel für Angreife und daher ist der Missbrauch von DLL-Dateien zu einer beliebten Methode für Hacker geworden, um sich zu verstecken und die Kontrolle über Zielsysteme zu erlangen.

Hinweis auf potenziell bösartige Aktivitäten

Die von DeepDLL extrahierten Merkmale weisen auf potenziell bösartige Aktivitäten hin, die von den Sicherheitsforschern identifiziert wurden, zum Beispiel Dateimetadaten und kompilierte Strukturen (Kommunikation, Verschlüsselung, Codestruktur, usw.). Außerdem erkennt die Engine die Angriffskette der DLL und weiß daher, ob sie per E-Mail oder ZIP-Datei eintrifft, oder von einer ausführbaren Datei abgelegt wird. Schließlich werden alle Merkmale an das neue KI-Modell gesendet, welches die Daten analysiert und Muster erkennt. Nach eigenen Ausagen von Check Point erreicht DeepDLL eine Trefferquote von 99,7 Prozent.

In einem Anwendungsfall wurde eine DLL-Datei von DeepDLL bei einem Unternehmen in den Niederlanden eindeutig erkannt. Die bösartige DLL, die in einem Microsoft Installationsprogramm (MSI) enthalten war, das auf einen Rechner heruntergeladen worden ist, wurde bei der Ausführung blockiert. Die MSI-Dateien enthielten mehrere Elemente, unter denen auch ein entsprechendes Beispiel gefunden wurde. Es hatte jedoch keine DLL-Erweiterung, wurde aber vom Threat Emulation Classifier als DLL identifiziert.

DLL-Techniken

Angreifer manipulieren DLLs, um schädlichen Code in legitime Prozesse einzuschleusen, und verwenden folgende Techniken:

DLL-Hijacking
Hierbei platziert ein Angreifer eine bösartige DLL desselben Namens einer legitimen DLL an einem Speicherort, auf den das System zugreift, bevor den Speicherort der echten DLL durchsucht. Wenn das System also ausgeführt wird, lädt es die bösartige DLL und hält sie für die rechtmäßige DLL.

DLL-Side-Loading
Ähnlich wie beim Hijacking wird bei dieser Technik eine Anwendung dazu verleitet, eine schädliche DLL zu laden, indem sie in ihrem Pfad platziert wird.

DLL-Einschleusung
Hierbei handelt es sich um einen direkten Ansatz, bei dem schädlicher Code über eine DLL in einen laufenden Prozess injiziert wird, so dass der Angreifer seinen Code im Kontext einer anderen Anwendung ausführen kann.

Roger Homrich

Recent Posts

SoundPEATS Air5: Klang nahezu in Studioqualität

Außergewöhnlicher Komfort, ästhetisches Design, Premium-Audio mit Hi-Res-Zertifizierung / Klare Empfehlung für Audiofans mit kleinem Budget

9 Stunden ago

Studie: Deutsche Wirtschaft nutzt Möglichkeiten von KI zu selten aus

42 Prozent der Angestellten arbeiten noch ohne KI. Das Bewusstsein für KI-Technologien nimmt jedoch zu.

11 Stunden ago

Brand Phishing Q4 2024: Microsoft bleibt Spitzenreiter, LinkedIn steigt auf

Check Point Research hat zudem Fälschungen von PayPal, Facebook, Nike, Adidas und diversen Luxusmarken beobachtet.

13 Stunden ago

Microsoft räumt Programmabstürze bei Outlook ein

Betroffen ist das klassische Outlook nach Installation des Updates auf die Version 2412. Der Fehler…

14 Stunden ago

Stargate-Projekt: Joint Venture investiert Milliarden in KI-Infrastruktur

Zu den Gründern von Stargate gehören Oracle, OpenAI und SoftBank. Als Technologiepartner sind ARM, Microsoft…

16 Stunden ago

Microsoft: Russische Hacker greifen WhatsApp-Konten an

Die Kampagne startet im November 2024. Eine angebliche Einladung zu einer WhatsApp-Gruppe verschafft den Angreifern…

1 Tag ago