Настройка обнаружения атак DLL Hijacking

DLL Hijacking – это техника атаки, которая заключается в том, что на целевую систему доставляется уязвимое легальное программное обеспечение вместе с вредоносной динамической библиотекой (DLL). Уязвимое программное обеспечение при запуске не проверяет легитимность динамической библиотеки и загружает ее по имени файла. В результате происходит исполнение вредоносного кода в контексте легального программного обеспечения. Атаку с использованием техники DLL Hijacking сложно обнаружить, так как фактически запускается легальное программное обеспечение. Для обнаружения таких атак использует модуль AI. Модуль AI анализирует параметры запуска и исполнения программ и определяет подозрительные случаи запуска легального программного обеспечения с вредоносными библиотеками.

Для получения заключения KUMA отправляет запрос в KSN. Запрос содержит информацию из полей события, которая необходима для анализа. В ответ на запрос KSN присылает один из следующих результатов анализа:

• 0 – В обработке. Для получения заключения требуется отправить запрос повторно. Отправку повторных запросов вы можете настроить с помощью параметра Выполнять повторный запрос.
• 1 – Вредоносность не подтверждена. На момент получения заключения библиотека не считается вредоносной.
• 2 – Подозрительная. При получении такого результата создается алерт, если у вас настроено соответствующее правило корреляции.
• 3 – Вредоносная. При получении такого результата создается алерт, если у вас настроено соответствующее правило корреляции. Заключение Вредоносная с большей вероятностью указывает на обнаружение DLL Hijacking, чем заключение Подозрительная.

Заключение записывается в событие в поле KL_AI_DLLHijackingCheckResult в виде числового значения и текстового пояснения.

Обнаружение атак DLL Hijacking производится на этапе обогащения событий. Для этого используется обогащение типа Проверка DLL Hijacking. Обогащение этого типа вы можете встроить либо в коллектор, либо в коррелятор. Мы рекомендуем встраивать обогащение этого типа в коррелятор. В этом случае нагрузка на службу KSN значительно ниже, чем при проверке событий в коллекторе.

Для использования обогащения типа Проверка DLL Hijacking ваша лицензия должна включать в себя модуль AI. Главный администратор также должен принять дополнительное Положение о KSN в разделе Kaspersky Security Network (Параметры → Интеграции → AI-сервисы → Kaspersky Security Network). Если в вашем экземпляре KUMA несколько главных администраторов, достаточно, чтобы Положение принял любой из них.

Обнаружение атак DLL Hijacking с помощью обогащения событий в корреляторе

Чтобы настроить обнаружение атак DLL Hijacking с помощью обогащения событий в корреляторе:

1. В веб-интерфейсе приложения перейдите в раздел Ресурсы → Корреляторы.
2. Запустите создание коррелятора или откройте параметры существующего коррелятора.
3. Добавьте обогащение типа Проверка DLL Hijacking.

   При настройке обогащения вам нужно указать список полей, которые соответствуют параметрам, необходимым для создания запроса в KSN. Убедитесь, что указанные вами поля заполняются при нормализации в коллекторе.

   Также в правиле корреляции укажите поля, которые вы указали при добавлении обогащения (см. п.3 инструкции). Поля должны быть перечислены в параметре Наследуемые поля, если вы создали правило корреляции типа simple, или в параметре Группирующие поля, если вы создали правило корреляции типа standard.

4. В параметрах обогащения в разделе Параметры фильтра выберите из списка фильтр [OOTB] Events for DLLHijacking enrichment. Filter for correlator. Если этот фильтр отсутствует в списке, импортируйте его из репозитория. Вы также можете настроить фильтр самостоятельно.
5. Если вы хотите настроить приложение так, чтобы при получении заключений Подозрительная или Вредоносная создавался алерт, создайте соответствующее правило корреляции. При создании правила корреляции выберите тип simple или тип standard и на вкладке Селектор укажите в параметрах фильтра два условия:

   KL_AI_DLLHijackingCheckResult = 2 ИЛИ KL_AI_DLLHijackingCheckResult = 3

Обнаружение атак DLL Hijacking настроено. Если вы создали правило корреляции, то при получении заключений Подозрительная или Вредоносная будет создаваться алерт.

Обнаружение атак DLL Hijacking с помощью обогащения событий в коллекторе

Не рекомендуется использовать обогащение типа Проверка DLL Hijacking в коллекторе. Это повышает нагрузку на службу KSN. Вместо этого добавьте обогащение этого типа в коррелятор.

Чтобы настроить обнаружение атак DLL Hijacking с помощью обогащения событий в коллекторе:

1. В веб-интерфейсе приложения перейдите в раздел Ресурсы → Коллекторы.
2. Запустите создание коллектора или откройте параметры существующего коллектора.
3. Добавьте обогащение типа Проверка DLL Hijacking.

   При настройке обогащения вам нужно указать список полей, которые соответствуют параметрам, необходимым для создания запроса в KSN. Убедитесь, что указанные вами поля заполняются при нормализации в коллекторе.

4. В параметрах обогащения в разделе Параметры фильтра выберите из списка фильтр [OOTB] Events for DLLHijacking enrichment. Filter for collector. Если этот фильтр отсутствует в списке, импортируйте его из репозитория. Вы также можете настроить фильтр самостоятельно.
5. Если вы хотите настроить приложение так, чтобы при получении заключений Подозрительная или Вредоносная создавался алерт, создайте соответствующее правило корреляции. При создании правила корреляции выберите тип simple или тип standard и на вкладке Селектор укажите в параметрах фильтра два условия:

   KL_AI_DLLHijackingCheckResult = 2 ИЛИ KL_AI_DLLHijackingCheckResult = 3

Обнаружение атак DLL Hijacking настроено. Если вы создали правило корреляции, то при получении заключений Подозрительная или Вредоносная будет создаваться алерт.

В начало