\u00a0<\/p>\n
I cybercriminali riescono a eludere le soluzioni di sicurezza con diverse tecniche, pensate per mascherare le attivit\u00e0 dannose. Uno dei metodi sempre pi\u00f9 diffusi negli ultimi anni \u00e8 il DLL hijacking<\/a> dei sistemi Windows, che consiste nella sostituzione di una libreria dinamica legittima (DLL, Dynamic-Link Libraries) con un\u2019altra dannosa. Il problema \u00e8 che gli strumenti di sicurezza tradizionali spesso non rilevano questo tipo di tecnica. Per risolvere il problema, i colleghi del Kaspersky AI Technology Research Center hanno messo a punto un modello basato sul machine learning in grado di individuare gli attacchi DLL hijacking con estrema precisione. Il modello \u00e8 gi\u00e0 stato integrato nella versione pi\u00f9 recente del sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform<\/a>. In questo post scopriremo perch\u00e9 \u00e8 difficile individuare gli attacchi di tipo DLL hijacking e in che modo vengono gestiti dalla nostra soluzione.<\/p>\n L\u2019avvio improvviso di un file sconosciuto in un ambiente Windows attira inevitabilmente l\u2019attenzione degli strumenti di sicurezza (sempre che non venga semplicemente bloccato). In sostanza, un attacco di tipo DLL hijacking cerca di far passare un file dannoso come attendibile e conosciuto. Il DLL hijacking assume diverse forme. In alcuni casi, gli autori degli attacchi distribuiscono una libreria dannosa insieme a un software legittimo (sideloading della DLL<\/a>), in modo che venga eseguita dal programma. In altri casi, la sostituiscono alle DLL standard richiamate dai programmi gi\u00e0 installati nel computer. Infine, possono manipolare il meccanismo in grado di individuare la posizione della libreria caricata ed eseguita da un processo. Il file DLL dannoso viene quindi avviato da un processo legittimo nel relativo spazio di indirizzi e con i relativi privilegi. I sistemi tradizionali per la protezione degli endpoint ritengono quindi legittima questa attivit\u00e0. Ecco perch\u00e9 i nostri esperti hanno deciso di sfruttare l\u2019intelligenza artificiale per contrastare questa minaccia.<\/p>\n Gli esperti dell\u2019AI Technology Research Center hanno addestrato un modello ML che consente di rilevare il DLL hijacking in base a informazioni indirette sulla libreria e sul processo che l\u2019ha richiamata. Il primo passo \u00e8 stato quello di identificare i principali elementi che indicano un tentativo di manipolazione della libreria, ad esempio se il file eseguibile e la libreria si trovano in un percorso standard, se il file \u00e8 stato rinominato, se sono cambiate le dimensioni e la struttura della libreria, se la firma digitale \u00e8 integra e cos\u00ec via. Inizialmente, il modello \u00e8 stato addestrato utilizzando i dati delle DLL caricate, provenienti da sistemi interni di analisi automatica e dalle informazioni di telemetria di Kaspersky Security Network (KSN)<\/a> fornite volontariamente dagli utenti e in seguito rese anonime. Per l\u2019assegnazione delle etichette, gli esperti si sono avvalsi dei dati contenuti nei nostri database di reputazione dei file.<\/p>\n Dato che il primo modello era piuttosto impreciso, i nostri esperti non l\u2019hanno integrato subito nella soluzione e hanno deciso di eseguire diverse iterazioni di prova, in modo da perfezionare il sistema di assegnazione delle etichette del dataset di addestramento e le funzionalit\u00e0 per il rilevamento degli attacchi di tipo DLL hijacking. Il risultato \u00e8 un modello che consente di individuare con estrema precisione questo tipo di tecnica. Securelist ha pubblicato un articolo approfondito<\/a> in cui i nostri specialisti spiegano come hanno sviluppato questa tecnologia, dall\u2019ipotesi iniziale all\u2019esecuzione di test in Kaspersky Managed Detection and Response<\/a> e infine all\u2019integrazione effettiva nella piattaforma SIEM.<\/p>\n Nel sistema SIEM, il modello analizza i metadati delle DLL caricate e dei processi che le hanno richiamate in base ai dati di telemetria, contrassegna i casi sospetti ed esegue controlli incrociati del risultato finale a fronte delle informazioni nel cloud di KSN. Questa procedura consente non soltanto di migliorare il rilevamento degli attacchi DLL hijacking, ma riduce anche il numero di falsi positivi. Il modello funziona sia nel sottosistema di correlazione che in quello di raccolta degli eventi.<\/p>\n Nel primo caso, si controllano solo gli eventi che hanno gi\u00e0 attivato le regole di correlazione, per una valutazione pi\u00f9 precisa delle minacce e una generazione pi\u00f9 rapida degli avvisi all\u2019occorrenza. Dato che la verifica non interessa tutti gli eventi, il volume delle query nel cloud non influenza la velocit\u00e0 di risposta del modello.<\/p>\n Nel secondo caso, il modello elabora tutti gli eventi di caricamento della libreria che rispettano determinate condizioni. Anche se richiede un maggior impiego di risorse, questo metodo \u00e8 indispensabile per la ricerca retroattiva delle minacce.<\/p>\nCome funziona il DLL hijacking e perch\u00e9 non \u00e8 semplice rilevarlo<\/h2>\n
Come rilevare gli attacchi di tipo DLL hijacking con il machine learning<\/h2>\n
Rilevamento degli attacchi di tipo DLL hijacking in Kaspersky SIEM<\/h2>\n