:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Gefahren für Windows-Systeme Wie Hacker DLL-Sideloading für ihre Zwecke kapern
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/31600/31631/65.jpg "Bitdefender_web.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Dynamic Link Libraries (DLL) spielen in Microsoft-Windows-Umgebungen eine zentrale Rolle, um sowohl für das Betriebssystem als auch für Drittanbieter-Software notwendige Funktionalitäten bereitzustellen. So muss nicht jede Applikation ihre eigenen Bibliotheken mitbringen. Hacker können diesen Mechanismus für sich nutzen und Malware-Code dort unterbringen, wo eine Anwendung nach der gewünschten Funktion sucht.
Beim Aufruf einer via DLL bereitgestellten Programmfunktion weist die ausführbare Datei das Betriebssystem an, die benötigte Library in den Speicher zu laden. Sie bezeichnet nur den Namen der Bibliothek, nennt aber nicht den vollständigen Pfad. Das Betriebssystem legt die dynamische Bibliothek am gewünschten Ort im für den Call-Prozess bereitstehenden Adressraum ab. Für die Libraries sind nur einige bestimmte Speicherorte festgelegt. Das Betriebssystem wird diese in einer exakt definierten Reihenfolge abgehen, bis es die benötigte Datei findet (Abbildung 1).
Die dafür vorgesehene Reihenfolge ist im Windows-Betriebssystem hart codiert. Es gibt aber Möglichkeiten, neue Orte anzugeben, um die Anwendungen zu laden –DLL Redirection, Manifest Files oder Isolationstools wie MSIX app attach oder das ältere App-V. Bei neueren Betriebssystemen legt default der Safe-DLL-Modus die Abfragereihenfolge (Abbildung 2) fest.
Mechanismen des DLL-Sideloading
Die Call-Reihenfolge, um ausführbaren Code aus den DLL-Libraries abzurufen, lässt sich im Guten wie im Bösen nutzen. Entwickler beheben mögliche Kompatibilitätsprobleme von Libraries damit am einfachsten und effektivsten. Ein Entwickler eines Codes, der auf einer nicht mehr aktuellen Version einer Library aufbaut und diesen in einer Lokation teilt (wie zum Beispiel C:\Windows\System32) kann die sich daraus ergebenden Folgeprobleme einfach beheben: Er kopiert einfach die alte Library in denselben Ordner, in dem sich auch der ausführbare Code befindet. So kann die Anwendungen die benötigte ältere Version der Library nutzen, während alle anderen Applikationen die aktuelle Library von der geteilt verfügbaren Lokation bezieht.
Letztlich ist das bereits ein Hack. Bösartige Angreifer können dieses Prinzip für ihre Absichten nutzen und die DLL-Suchreihenfolge kapern. Dafür gibt es zwei Möglichkeiten, den passiven und den aktiven Exploit:
- Passiver Exploit: Die Hacker laden eine eigenständige, höchst vertrauenswürdige Binary (Binärdatei) auf das Zielsystem hoch und nutzen sie zum Sideload einer bösartigen Library.
- Aktiver Exploit: Hier nutzen die Angreifer die vorinstallierte Applikationen und Komponenten, deren Schwachstellen es ermöglichen, bösartige Bibliotheken von einem unsicheren Ort aus zu laden.
Passiver Exploit
Diese Angriffe sind am verbreitetsten. Ihre Effekte sind weniger schwerwiegend. In der Öffentlichkeit genießen solche Attacken aber eine hohe Aufmerksamkeit, weil die Hacker auf diese Weise Libraries sehr bekannter Hersteller angreifen.
Die Urheber der Angriffe bevorzugen in der Regel ältere Bibliotheken mit einer Signatur von Legacy-Betriebssystemen oder aus anderen vertrauenswürdigen Quellen. Die Kopie dieser Binary platzieren sie gemeinsam mit dem Schadcode in einen Ordner, für den die Angreifer einen Schreibzugriff haben. Nachdem die eigentliche Binary gestartet ist, lädt sie per Sideload die bösartige Library aus demselben Ordner an den Zielort. Diese Schwachstelle ist in der Vergabe der Orte für die Libraries durch Windows OS angelegt. Die Softwarehersteller haben hierauf keinen Einfluss (Abbildung 3).
Die nachgeladene Library erbt dieselben Zugriffsrechte wie die Binary, die der Angreifer ausführen muss. Eine solche Methode nutzen die Hacker aber nur bei bereits kompromittierten Systemen. Sie hat allein den Zweck, zu verhindern, dass die Abwehr den eigentlichen Angriff nicht entdeckt. Dafür unterbindet sie, dass Richtlinien zur Applikationskontrolle oder andere grundlegende Cyberabwehrmöglichkeiten zum Tragen kommen. Dies könnte der Fall sein, weil die gestartete Binary über eine digitale Signatur verfügt, die eine Abwehr erkennen kann. Meistens nutzen die Angreifer veraltete Binary-Versionen, von denen zahlreiche zur Auswahl bereitstehen. Hacker nutzen meistens verschiedene ausführbare Dateien, um ihre bösartige Library nachzuladen. Bei einem passiven Exploit müssen sie keine Software installieren, um den DLL-Sideload auszulösen. Üblicherweise verwenden sie nur eine selbständige Binary.
Aktive Exploits
Hier müssen die Angreifer eine vorinstallierte Anwendung oder Betriebssystemkomponente identifizieren, deren DLL-Suchreihenfolge sich kapern lässt. Im Calling-Prozess wird die bösartige Library dann automatisch geladen: als Library unter dem eigentlich korrektem Namen an einer Stelle, die Teil der Suchreihenfolge ist. Man kann sich diese Attacke auch als Man-in-the-Middle-Attacke vorstellen, wobei das Betriebssystem versucht, die verlangte Library zu lokalisieren.
Im schlimmsten Fall eskalieren die Angreifer die Privilegien kompromittierter Identitäten. Denn die bösartige Library verfügt über die identischen Zugriffsrechte wie der Calling-Prozess. Das können Administrator- oder Systemrechte sein. Wenn die Anwendung eine Library regelmäßig aufruft – etwa um einen täglich angesetzten Check nach Updates durchzuführen – haben die Hacker eine persistente Präsenz im angegriffenem Netz erreicht.
Zudem tarnt der Exploit die Hardware vor der Abwehr. Die böswillige Library kann als Proxy vor der ersetzten legitimen DLL fungieren. Die verwundbare Applikation verhält sich unauffällig und der bösartige Code bleibt im Verborgenem (Abbildung 4).
Ein aktuelles Beispiel für Kryptojacking durch DLL-Sideloading in Microsoft OneDrive
Diese Gefahr ist präsent. In den Monaten Mai und Juni 2022 haben Sicherheitsexperten von Bitdefender weltweit eine Angriffskampagne entdeckt, in der Cyberkriminelle bekannte DLL-Sideloading-Schwachstellen in Microsoft OneDrive ausnutzen, um Kryptomining-Malware auf den Systemen der Opfer zu installieren. Prinzipiell könnten sie über die Schwachstelle jede Malware herunterladen – auch Malware.
In der Attacke schreiben die Angreifer ohne besondere Rechte eine falsche secure32.dll in den Pfad %appdata%\Local\Microsoft\OneDrive\. Die OneDrive Prozesse OneDrive.exe oder OneDriveStandaloneUpdater.exe laden diese dann. Weil %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe planmäßig jeden Tag laufen soll, sind die falschen DLL-files nun persistent im System des Opfers. Zusätzlich verankern die Angreifer die falsche DLL im System über %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Die Angreifer legen per Konfiguration fest, dass die OneDrive.exe bei jedem Reboot unter Verwenden der Windows Registry startet. Nach dem Laden der falschen secure32.dll über diese OneDrive-Prozesse lädt diese die Software zum Kryptomining nach und infiziert sie in legitime Windows-Prozesse. Auf dieselbe Art und Weise könnten die Angreifer genauso gut Ransomware oder Spyware auf den Systemen installieren.
Sideloading-Abwehr
Einfachere Sicherheitstechnologien oder Richtlinien, die Softwarerechte einschränken, lassen sich so umgehen. Die Hacker müssen nur die Lücken erkennen und einen bösartigen Code an einen der Orte für die Libraries bringen. Eine Endpoint Detection and Response erkennt diese Tarnung. Zudem verraten sich auch getarnte falsche Libraries während des Downloads, beim Speichern auf einen Datenträger oder beim Laden in den Arbeitsspeicher. Indizien für einen Alarm sind eine verdächtige IP, Domäne oder auch eine URL mit zweifelhafter Reputation. Algorithmen zur Analyse des Speicherverhaltens können ein solches Verhalten präventiv erkennen. Abwehrlösungen halten bei einem passiven Exploit zudem nach den Aktivitäten ausführbarer Dateien wie rundll32.exe oder regsvr32.exe Ausschau. Denn über sie können Hacker in bereits infizierten Systemen jede DLL nachladen.
Für eine vorbeugende Abwehr müssen sich IT-Administratoren zudem darum bemühen, die Angriffsfläche ihrer IT-Infrastruktur zu verringern. Ebenso wichtig ist es, Systeme immer auf aktuellem Stand zu halten und nicht nur Betriebssysteme zu aktualisieren, sondern auch die verschiedenen Anwendungen von Drittanbietern. Bei einem aktiven Exploit ist die wichtigste Aufgabe, zu analysieren, wie Angreifer den Schreibzugriff erlangten. Denn das ist die Grundlage eines jeden DLL-Angriffs. Eine Managed Detection and Response hilft, solche Angriffe für die Zukunft zu verhindern. Eine ebenso wichtige Rolle spielen bereits im Vorfeld die Entwickler. Microsoft bietet zahlreiche Best Practices für ein sicheres Laden von Binaries.
Über den Autor: Martin Zugec ist Technical Solutions Director bei Bitdefender.
(ID:48768307)
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")