Secondo Kaspersky negli ultimi due anni gli attacchi di tipo DLL hijacking sono raddoppiati. La versione aggiornata di Kaspersky SIEM è ora dotata di funzionalità AI per rilevare gli attacchi di tipo DLL hijacking, migliorando l’efficienza del rilevamento.
Il DLL hijacking (“Dynamic Link Library hijacking”) è una tecnica comune con cui gli attaccanti sostituiscono la libreria caricata da un processo legittimo con un'altra dannosa. Questa tecnica viene utilizzata sia dai creatori di malware ad alto impatto, come stealer e trojan bancari, sia da gruppi APT (Advanced Persistent Threat) e cybercriminali che si occupano di attacchi mirati.
Kaspersky ha rilevato questa tecnica e le sue varianti, come il sideloading delle DLL, durante alcuni attacchi mirati contro diverse aziende in Russia, Africa, Corea del Sud e altre regioni. Per migliorare ancora di più la protezione contro questa minaccia, Kaspersky SIEM ha aggiunto un nuovo sottosistema basato sull'intelligenza artificiale che controlla sempre le informazioni relative a tutte le librerie caricate.
Questa nuova funzionalità ha già dimostrato la sua efficacia, aiutando a rilevare un attacco da parte del gruppo APT ToddyCat. La minaccia è stata identificata e bloccata in una fase iniziale, evitando qualsiasi impatto sulle aziende prese di mira. Il modello ha anche rilevato dei tentativi per infettare potenziali vittime con un infostealer e un loader dannoso.
“Stiamo assistendo a un aumento degli attacchi DLL hijacking, in cui un programma affidabile viene indotto a caricare una libreria falsa invece di quella reale. Questo consente agli aggressori di eseguire segretamente il loro codice dannoso. Questa tecnica è difficile da rilevare, ed è qui che l’intelligenza artificiale può essere d’aiuto. L’utilizzo di tecniche di protezione avanzate potenziate dall’intelligenza artificiale è ormai essenziale per stare al passo con queste minacce in continua evoluzione e mantenere sicuri i sistemi critici”, ha affermato Anna Pidzhakova, Data Scientist del Kaspersky AI Research Center.
Su Securelist sono stati pubblicati due articoli correlati: il primo spiega come è stato sviluppato un modello di machine learning per rilevare gli attacchi di DLL hijacking, mentre il secondo descrive come questo modello sia stato integrato nella piattaforma SIEM di Kaspersky.
Ulteriori informazioni sul Kaspersky SIEM sono disponibili al seguente sito web.
