Spør eksperten
SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler!. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)
DLL forbelastning, også kjent som binære planting, ble først rapportert om tre år siden. Denne teknikken utnytter usikre konfigurasjonen i Windows for å søke i gjeldende arbeidskatalog for dynamiske koblinger biblioteker (DLL-filer) som brukes innenfor lovlige filer.
Nylig, Trend Micro Inc. dokumentert at PoisonIvy malware benytter DLL preloading å omgå antimalware verktøy . PoisonIvy injiserer også ondsinnet kode i et eksemplar av Internet Explorer (iexplore.exe) som kjører i bakgrunnen for å kommunisere over nettverket mens omgåelsen brannmurer.
PoisonIvy innlemmet disse nye funksjonene på å unndra antimalware verktøy og for å gjøre den første infeksjonen fil ser mer legitim. En bruker kan anta filen, noe som kan være maskert som en Microsoft Word eller Adobe Flash-fil, er trygge og åpne den, slik at filen du skal laste malware inn i gjeldende arbeidskatalog og utføre den.
Dessverre, ikke mye har endret seg i årene etter dette angrepet ble avslørt, men lærte funksjonaliteten til malware kan gi noen ytterligere innsikt i utviklings praksis av malware forfattere. Hvis malware forfattere prioritere ny funksjonalitet basert på forespørsler fra angripere eller virkningen av den nye funksjonaliteten, kan det foreslår at angrepet pålitelige eller effektiv - eller selv med det i det hele tatt -. Ble en lavere samlet prioritet
For å beskytte din bedrift fra både malware og angrep ved hjelp av malware, bør DLL preloading avbøtende tiltak treffes, for eksempel bruk av Microsoft Fixit og bruker de nyeste versjonene av installerte programmer. Disse tiltakene vil bidra til å minimere sjansen for ondsinnede DLL-filer som lastes. I tillegg kan endepunkt og nettverk antimalware verktøy også beskytte mot PoisonIvy.