Οι επιθέσεις τύπου DLL hijacking έχουν διπλασιαστεί τα τελευταία δύο χρόνια, σύμφωνα με την Kaspersky. Η ανανεωμένη πλατφόρμα Kaspersky SIEM διαθέτει πλέον λειτουργίες τεχνητής νοημοσύνης για να εντοπίζει σημάδια τέτοιων επιθέσεων, βελτιώνοντας έτσι την αποτελεσματικότητα της ανίχνευσης.
Η τεχνική DLL hijacking (παραβίαση βιβλιοθήκης δυναμικών συνδέσμων) είναι μια συνηθισμένη μέθοδος κατά την οποία οι επιτιθέμενοι αντικαθιστούν μια βιβλιοθήκη που φορτώνει νόμιμα με μια κακόβουλη. Χρησιμοποιείται από δημιουργούς κακόβουλου λογισμικού μεγάλης εμβέλειας — όπως stealers (εργαλεία κλοπής δεδομένων) και Trojans — από ομάδες APT (Advanced Persistent Threat), αλλά και από ομάδες κυβερνοεγκλήματος που πραγματοποιούν στοχευμένες επιθέσεις.
Η Kaspersky έχει παρατηρήσει αυτήν την τεχνική και τις παραλλαγές της, όπως το DLL sideloading, σε στοχευμένες επιθέσεις σε οργανισμούς στη Ρωσία, την Αφρική, τη Νότια Κορέα, καθώς και σε άλλες χώρες και περιοχές. Για να ενισχύσει περαιτέρω τις δυνατότητες προστασίας ενάντια σε αυτήν την απειλή, η Kaspersky SIEM έχει δημιουργήσει ένα ειδικό υποσύστημα τεχνητής νοημοσύνης, το οποίο αναλύει συνεχώς πληροφορίες για όλες τις βιβλιοθήκες που φορτώνονται.
Η νέα λειτουργία έχει ήδη αποδειχθεί αποτελεσματική, αφού βοήθησε στον εντοπισμό μιας επίθεσης από την ομάδα APT ToddyCat. Κατάφερε συγκεκριμένα να εντοπίσει και να αποκλείσει την απειλή σε πρώιμο στάδιο, αποτρέποντας τον οποιονδήποτε αντίκτυπο στους οργανισμούς που στοχοποιήθηκαν. Το μοντέλο αποκάλυψε επίσης προσπάθειες μόλυνσης των εν δυνάμει θυμάτων με infostealer και κακόβουλο loader.
«Βλέπουμε όλο και πιο συχνά επιθέσεις τύπου DLL hijacking, οι οποίες «ξεγελούν» κάποιο αξιόπιστο πρόγραμμα ώστε να φορτώσει μια ψεύτικη βιβλιοθήκη αντί για την πραγματική. Αυτό δίνει στους επιτιθέμενους τη δυνατότητα να εκτελούν κρυφά τον κακόβουλο κώδικά τους. Η τεχνική αυτή είναι δύσκολα ανιχνεύσιμη, κάτι στο οποίο η τεχνητή νοημοσύνη μπορεί να βοηθήσει. Η χρήση προηγμένων τεχνικών προστασίας AI είναι πλέον απαραίτητη για να προλαμβάνουμε αυτές τις εξελισσόμενες απειλές και να διασφαλίζουμε την ασφάλεια των κρίσιμων συστημάτων», αναφέρει η Anna Pidzhakova, Data Scientist στο AI Research Center της Kaspersky.
Το Securelist έχει δημοσιεύσει δύο σχετικά άρθρα: Το πρώτο εξηγεί πώς αναπτύχθηκε ένα μοντέλο machine learning για την ανίχνευση επιθέσεων τύπου DLL hijacking, ενώ το δεύτερο περιγράφει πώς αυτό το μοντέλο ενσωματώθηκε στην πλατφόρμα Kaspersky SIEM. Για περισσότερες πληροφορίες σχετικά με την Kaspersky SIEM, μπορείτε να επισκεφθείτε την ιστοσελίδα εδώ.
