Стремясь скрыться от систем защиты, злоумышленники применяют разные методы маскировки вредоносных действий. Одной из распространенных тактик в атаках на Windows-системы стал DLL Hijacking — замена оригинальных динамических библиотек на вредоносные. Традиционные средства защиты часто не распознают подобные манипуляции. Специалисты Kaspersky AI Technology Research создали модель машинного обучения для точного выявления этой угрозы. Эта технология уже интегрирована в обновленную SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA). Ниже объясняем особенности детектирования DLL Hijacking и принципы работы нашего решения.
Принцип DLL Hijacking и проблемы ее обнаружения
Неожиданный запуск подозрительного файла в Windows обычно блокируется защитными системами. DLL Hijacking позволяет злоумышленникам имитировать доверенные библиотеки. Существует несколько методов подмены: распространение вредоносных DLL вместе с легальным софтом (sideloading), замена системных библиотек или манипуляции с путями загрузки. В результате вредоносный код исполняется легитимным процессом с его правами, что затрудняет обнаружение. Для противодействия этой технике наши эксперты использовали искусственный интеллект.
Обнаружение DLL Hijacking с помощью машинного обучения
Специалисты AI Technology Research обучили модель выявлять атаки по косвенным признакам: расположение файлов, наличие цифровых подписей, изменения структуры библиотек и другие параметры. Для обучения использовались данные автономных систем анализа и анонимизированная телеметрия Kaspersky Security Network (KSN), а разметка проводилась на основе репутационных баз. После нескольких итераций улучшения выборки и признаков модель достигла высокой точности. Подробности разработки доступны в блоге Securelist, включая тестирование в сервисе Kaspersky Managed Detection and Response и интеграцию в KUMA.
Реализация технологии в SIEM-платформе KUMA
Модель анализирует метаданные DLL и процессов в телеметрии, сверяя результаты с данными KSN для повышения точности и снижения ложных срабатываний. Технология функционирует в двух режимах:
В корреляционной подсистеме проверяются события, активировавшие другие правила. Это ускоряет оценку угроз и генерацию алертов без нагрузки на облачные запросы.
В подсистеме сбора анализируются все события загрузки библиотек по заданным критериям. Режим требует больше ресурсов, но полезен для ретроспективного поиска угроз.
Эксперты Kaspersky опубликовали случаи раннего обнаружения целевых атак через KUMA с помощью этой модели. Важно, что точность системы будет улучшаться благодаря накоплению данных об угрозах и обновлениям алгоритмов в KSN.