Hacker-Liebling DLL Sideloading
Schutz vor DLL-Missbrauch
Als die schwedische Supermarktkette Coop vor knapp einem Jahr aufgrund ausfallender Kassensysteme hunderte Filialen schließen musste, alarmierte das Ereignis IT-Sicherheitsexperten weltweit. Ursache des Vorfalls war ein Cyberangriff auf den US-amerikanischen IT-Dienstleister Kaseya, der nur indirekt mit Coop in Zusammenhang steht. Denn wie sich später herausstellte, attackierte die Hackergruppe REvil das Unternehmen mit einem Supply-Chain-Angriff. Das Resultat: Schadensmeldungen von mehr als 1.500 Unternehmen aus 17 Ländern, darunter Deutschland.
Wie gelang es der Angreifergruppe, die Systeme so vieler Unternehmen in kürzester Zeit unbemerkt zu infizieren? Die Antwort lautet „DLL Sideloading“ – eine Angriffsvariante, die sich unter Hackern einer hohen Beliebtheit erfreut. Beim DLL Sideloading handelt es sich keineswegs um eine neue Angriffstaktik. Im Gegenteil: Die Mitre-Datenbank dokumentierte bereits im Jahr 2017 erste Beispiele. Außerdem gibt es Hinweise dafür, dass Angreifer das Verfahren schon früher nutzten. Die Angriffstaktik nutzt das Verhalten von Windows bei der Suche nach den Dynamic Link Libraries (DLL) aus, um eine legitime Anwendung aufzurufen, die dann wiederum eine schadhafte Payload ausführt. Mittels dieser Technik erreichen Angreifer in der Regel nicht nur eine gute Persistenz im Netzwerk, sondern können dort auch ihre Rechte erweitern und Verteidigungsmaßnahmen umgehen.
Die Herausforderung bei jeder Art von DLL Sideloading besteht darin, dass die Angreifer nicht nur in das Netzwerk eindringen müssen, sondern auch Schreibberechtigungen für das Verzeichnis benötigen, in dem sich die DLL zum Zeitpunkt des Ladens befindet. Klassisch haben Angreifer dazu eine Fehlkonfiguration ausgenutzt, um die bösartige DLL in das Microsoft Side by Side Directory (SxS) einzufügen und auszuführen – daher auch der Begriff des Sideloadings. Heutzutage umgehen sie das Berechtigungsproblem, indem sie direkt eine eigene DLL bereitstellen, die sie für das Sideloading verwenden.
Ein kleines Beispiel: REvil infizierte im oben genannten Fall eine für Anwenderunternehmen bereitgestellte Software, die mittels legitimer Downloads oder Updates die Schadsoftware auf deren Rechner lud. Da sich unter Kaseyas Anwenderschaft Dienstleister mit mehreren Kunden befanden, nahm der Angriff schnell große Ausmaße an. Hierbei verschaffte sich REvil zunächst über den Kaseya-Agenten agentmon.exe Zugang zum System. Danach nutzten die Angreifer MsMpEng.exe, eine Microsoft-Binary, um ein schadhaftes mpsvc.dll-Modul nachzuladen.
DLL Sideloading ist eine beliebte Angrifftstechnik, die seit Jahren bei einer Vielzahl von Angriffsszenarien zum Einsatz kommt. Zu den bekanntesten Angriffen gehören auch Netwire und Remcos im Jahr 2021 sowie Operation SoftCell 2018. Und erst kürzlich nutzte die Mustang-Panda-Gruppe (eine chinesische Angreiferorganisation, d.Red.) DLL Sideloading, um die PlugX Payload zu laden, einen Remote-Access-Trojaner (RAT) mit mehreren eingebetteten Modulen, der bei Bedrohungsakteuren sehr beliebt ist. Sicherheitsexperten gehen nicht davon aus, dass die Popularität von DLL-Sideloading-Angriffen in naher Zukunft abebben wird. Denn der große Vorteil dieser Taktik liegt darin, dass anfällige Ziele relativ leicht zu finden und schadhafte DLLs nur schwer zu erkennen sind. Denn DLL-Sideloading-Angriffe verwenden oft legitime, vertrauenswürdige und sogar signierte ausführbare Dateien als initiale Loader.
Zusätzlich verfügen eine Reihe von Sicherheitsprodukten und -konfiguration über sogenannte „Safe Lists“, in denen viele dieser vertrauenswürdigen ausführbaren Dateien ausdrücklich genannt sind. Selbst wenn die Datei nicht explizit auf der Safe-Liste steht, ist die Wahrscheinlichkeit groß, dass eine Angriffserkennung sie als Fehlalarm (False Positive) einstuft. Sicherheitsanalysten müssen die Warnzeichen für DLL Sideloading also genau kennen und gezielt danach suchen, um es zuverlässig zu identifizieren.
- Schutz vor DLL-Missbrauch
- DLL Sideloading erkennen
Lesen Sie mehr zum Thema
