В рамках недавнего тестирования Kaspersky успешно встроила модель машинного обучения в свою SIEM-систему и продемонстрировала её эффективность в обнаружении атак, связанных с DLL hijacking, в частности — методом DLL sideloading. Новая интеграция позволила выявлять сложные сценарии злоупотребления библиотеками, которые ранее могли оставаться незамеченными.
Как работает модель
Модель проводит тщательную проверку всех загружаемых в систему DLL-библиотек, сопоставляя локальные атрибуты — пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных и более широких поведенческих индикаторов повышает точность обнаружения и минимизирует количество ложных срабатываний.
Зафиксированные инциденты на пилотном этапе
Во время пилотного внедрения в службу управляемого обнаружения и реагирования (MDR) модель выявила несколько реальных инцидентов. Среди них:
- ToddyCat: группа атак использовала уязвимость SharePoint — CVE-2021-27076 — для выполнения команд, после чего злоумышленники запустили инструмент Cobalt Strike, замаскированный под законную системную библиотеку.
- Infostealer: вредоносное ПО выдавало себя за менеджер политик, что подтверждается событием загрузки DLL, зафиксированным SIEM-системой.
- Вредоносный загрузчик, маскирующийся под компонент обеспечения безопасности: библиотека wsc.dll была загружена с USB-накопителя и распознана как событие DLL hijacking.
Значение для корпоративной безопасности
Интеграция модели машинного обучения в SIEM обеспечила проактивную защиту: система эффективно обнаруживала попытки использования DLL в злонамеренных целях, которые могли бы остаться незамеченными при традиционных методах мониторинга. По словам отчета, эта интеграция позволила
«обеспечить проактивную защиту от атак DLL hijacking»
— результат, важный для организаций с критической инфраструктурой и большим количеством корпоративных приложений.
Ожидается, что дальнейший сбор данных и регулярные обновления алгоритмов в рамках KSN еще больше повысят точность модели и укрепят её роль как ключевого компонента мер корпоративной кибербезопасности.
Вывод
Опыт Kaspersky демонстрирует, что сочетание локального анализа атрибутов DLL и глобальной базы поведенческих индикаторов через облако — эффективный путь борьбы с современными техниками скрытия вредоносного ПО, такими как DLL sideloading. Для организаций это ещё одно подтверждение важности внедрения ML-решений в SIEM и MDR-процессы для своевременного обнаружения и нейтрализации сложных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Модель Kaspersky в SIEM обнаруживает DLL hijacking и sideloading".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.