DLL-Sideloading: Sicherheitslösungen im Blindflug

Der Begriff „Sideloading“ wird heutzutage am häufigsten im Kontext des Installierens von Apps von Quellen außerhalb der offiziellen App Stores auf Smartphones verwendet. Im Rahmen der IT-Sicherheit beschreibt der Begriff jedoch auch eine Technik, die immer mehr an Popularität in der Welt der Schadsoftware für Windows Betriebssysteme findet. Im Folgenden geben wir Ihnen einen kurzen Überblick zur Angriffstechnik selbst, deren Folgen und passenden Schutzmaßnahmen.
 

Was Ist DLL-Sideloading?

„Sideloading“, auch „DLL-Sideloading“ genannt, ist eine Technik, die im Bereich der Schadsoftware in den letzten Jahren an Bedeutung gewonnen hat. Sie ist eng verwandt mit „DLL-Hijacking“ beziehungsweise „DLL Search Order Hijacking“, bei dem Angreifer die Art und Weise ausnutzen, wie Anwendungen auf Windows nach Dynamically Linked Libraries (DLLs) suchen. Bei einem DLL-Sideloading wird gezielt eine manipulierte DLL im gleichen Verzeichnis wie die Zielanwendung platziert. Windows priorisiert die Suche in diesem Verzeichnis, wodurch die schädliche DLL ausgeführt wird. Diese Taktik wird häufig missbraucht, um legitime Anwendungen als Träger für Malware zu nutzen.
 

Wie DLL-Sideloading Angreifern Dabei Hilft Sicherheitslösungen zu Umgehen

Durch das DLL-Sideloading können Angreifer Sicherheitslösungen effektiv umgehen, da die ausführbare Datei (.exe) der Anwendung vertrauenswürdig (weltweit verbreitet und häufig mit einer digitalen Signatur versehen) ist und von Sicherheitslösungen als ungefährlich eingestuft wird. Auch bei der manuellen Untersuchung von möglicher Schadsoftware wird in erster Linie die eigentliche Anwendung selbst und weniger die von der Anwendung nachgeladenen Abhängigkeiten, wie beispielsweise Bibliotheken, untersucht. Somit erhöht sich die Wahrscheinlichkeit als Angreifer als False Positive eingestuft zu werden und einer weitgehenden Untersuchung der eigenen Aktivitäten zu entgehen.
 

Zur Relevanz von DLL-Sideloading

DLL-Sideloading stellt ein Risiko dar, da viele Applikationen potenziell missbraucht werden können. In der Regel finden durch die Applikationen keine Prüfungen statt, ob die nachgeladene Bibliothek auch die richtige ist. Wird öffentlich bekannt, dass eine Anwendung von Angreifern missbraucht wird, kann schnell eine Neue gefunden werden, die anfällig dafür ist.

Auf der Webseite von Mitre ATT&CK, die die Technik kategorisiert, ist eine Liste von Beispielen zu finden, wie DLL-Sideloading von unterschiedlichen Angriffsgruppen in der Vergangenheit ausgenutzt wurde.
 

Geeignete Schutzmaßnahmen

Um sich gegen DLL-Sideloading zu schützen, können folgende Maßnahmen getroffen werden:
  • Einsatz einer Endpoint Detection and Response (EDR)-Lösung: Die meisten EDR-Lösungen beinhalten entsprechende Regeln, um ein Sideloading zu erkennen. Der Mechanismus hinter der Erkennung unterscheidet sich jedoch je nach Hersteller. Einige Sicherheitslösungen implementieren spezifische Regeln, die verschiedene Telemetriedaten korrelieren, während andere Lösungen besonders die am häufigsten missbrauchten DLLs von Microsoft analysieren.
  • Härten von Endpunkten: Mittels Windows Defender Application Control (WDAC) oder AppLocker kann die Ausführung von Anwendungen kontrolliert und eingeschränkt werden. Je nach individueller Anforderung empfiehlt Microsoft entweder WDAC, AppLocker oder eine Kombination.
 

Fazit
DLL-Sideloading ist eine Technik, die es Angreifern ermöglicht, Sicherheitsmaßnahmen zu umgehen und sich in Netzwerke einzuschleusen. Daher ist es unerlässlich, dass Unternehmen sich der Risiken bewusst sind und geeignete Maßnahmen ergreifen, um ihre IT-Infrastruktur zu schützen. Nur durch eine Kombination aus effektiven EDR-Lösungen, Hardening-Strategien und Schulungen für Mitarbeiter können die Gefahren, die durch solche Techniken entstehen, gemindert werden.