DLL yönlendirme saldırısını tespit etme

Güvenlik çözümleri tarafından tespit edilmekten kaçınmak için siber suçlular, kötü amaçlı faaliyetlerini gizleyen çeşitli teknikler kullanırlar. Son yıllarda Windows sistemlerine yönelik saldırılarda giderek daha sık görülen yöntemlerden biri, dinamik bağlantı kitaplıkların (DLL’ler) kötü amaçlı kitaplıklarla değiştirildiği DLL yönlendirme saldırısıdır. Ve geleneksel güvenlik araçları genellikle bu tekniğin kullanımını algılamaz. Bu sorunu çözmek için, Kaspersky yapay zeka Teknoloji Araştırma Merkezi’ndeki meslektaşlarımız, DLL yönlendirme saldırısını yüksek doğrulukla tespit edebilen bir makine öğrenimi modeli geliştirdiler. Bu model, SIEM sistemimizin en son sürümü olan Kaspersky Unified Monitoring and Analysis Platform üzerinde halihazırda uygulanmaktadır. Bu yazıda, DLL yönlendirme saldırısını tespit etmenin zorluklarını ve teknolojimizin bu zorlukları nasıl aştığını açıklıyoruz.

DLL yönlendirme saldırısı nasıl çalışır ve tespit edilmesi neden zordur?

Windows ortamında bilinmeyen bir dosyanın aniden başlatılması, kaçınılmaz olarak güvenlik araçlarının dikkatini çeker veya basitçe engellenir. Esasen, DLL yönlendirme saldırısı, kötü amaçlı bir dosyayı bilinen ve güvenilir bir dosya gibi gösterme girişimidir. DLL yönlendirme saldırısının birkaç çeşidi vardır. Birincisi, saldırganların meşru yazılımla birlikte kötü amaçlı bir kitaplık dağıtması (DLL yan yükleme) ve yazılımın bunu çalıştırmasıdır. İkincisi, bilgisayarda önceden yüklenmiş programlar tarafından çağrılan standart DLL’leri değiştirmeleridir. Üçüncüsü ise, bir işlemin yüklediği ve çalıştırdığı kitaplığın konumunu belirleyen sistem mekanizmalarını manipüle etmeleridir. Sonuç olarak, kötü amaçlı DLL dosyası kendi adres alanı içinde ve kendi ayrıcalıklarıyla meşru bir işlem tarafından başlatılır; dolayısıyla olağan uç nokta koruma sistemleri bu etkinliği meşru olarak görür. Bu nedenle uzmanlarımız, bu tehdide karşı yapay zeka teknolojilerini kullanmaya karar verdiler.

ML ile DLL yönlendirme saldırısını tespit etme

Yapay Zeka Teknoloji Araştırma Merkezi uzmanları, kütüphane ve onu çağıran süreç hakkında dolaylı bilgilere dayalı olarak DLL yönlendirme saldırısını tespit etmek için bir ML modeli eğitti. Kütüphaneyi manipüle etme girişiminin; yürütülebilir dosya ve kütüphanenin standart yollarda bulunup bulunmadığı, dosyanın yeniden adlandırılıp adlandırılmadığı, kütüphanenin boyutu ve yapısının değişip değişmediği, dijital imzanın bozulup bozulmadığı vb. temel göstergelerini belirlediler. Başlangıçta, modeli dinamik bağlantı kitaplıklarının yüklenmesiyle ilgili veriler üzerinde eğittiler. Bu veriler, hem dahili otomatik analiz sistemlerinden hem de kullanıcılarımız tarafından gönüllü olarak sağlanan Kaspersky Security Network (KSN) telemetrisinden elde edildi. Etiketleme için uzmanlarımız, dosya itibar veri tabanlarımızdaki verileri kullandılar.

İlk model oldukça hatalıydı, bu nedenle çözümümüze eklemeden önce uzmanlarımız, eğitim veri setinin etiketlemesini ve DLL yönlendirme saldırısını gösteren özellikleri iyileştirerek birçok deneme yaptı. Sonuç olarak, model artık bu tekniği yüksek doğrulukla algılamaktadır. Meslektaşlarımız Securelist’te; ilk hipotezden başlayarak, Kaspersky Managed Detection and Response‘da yapılan testlere ve son olarak SIEM platformumuzda pratik uygulamaya kadar, bu teknolojinin nasıl geliştirildiğine dair ayrıntılı bir makale yayınladılar.

Kaspersky SIEM’de DLL yönlendirme saldırısı tespiti

SIEM sisteminde, model yüklenen DLL’lerin meta verilerini ve bunların telemetri tarafından çağrıldığı işlemleri analiz eder, şüpheli durumları işaretler ve ardından kararını KSN bulut verileriyle karşılaştırır. Bu, DLL yönlendirme saldırısı algılamasının doğruluğunu artırmakla kalmaz, aynı zamanda hatalı pozitifleri de azaltır. Model, hem korelasyon alt sisteminde hem de olay toplama alt sisteminde çalışabilir.

İlk durumda, yalnızca korelasyon kurallarını tetiklemiş olayları kontrol eder. Bu, daha hassas bir tehdit değerlendirmesi ve gerektiğinde daha hızlı uyarı oluşturulmasını sağlar. Tüm olaylar kontrol edilmediğinden, bulut sorgularının hacmi modelin yanıt hızını önemli ölçüde etkilemez.

İkinci durumda, model belirli koşulları karşılayan tüm kitaplık yükleme olaylarını işler. Bu yöntem daha fazla kaynak tüketir, ancak geriye dönük tehdit avcılığı için çok değerlidir.

Securelist blogunun başka bir yazısında, Anti-Malware Research grubundan meslektaşlarımız, DLL yönlendirme saldırısı tespit modelinin Kaspersky SIEM’in hedefli saldırıları yakalamasına nasıl yardımcı olduğunu, erken olay tespiti ile ilgili gerçek örnekler vererek ayrıntılı olarak anlattılar.

En önemlisi, tehditler ve meşru süreçler hakkında daha fazla veri biriktikçe ve KSN algoritmaları geliştikçe modelin doğruluğu da artmaya devam edecektir.