Что такое DLL Hijacking?
Это способ атаки, при котором злоумышленник подменяет библиотеку (файл DLL), которую использует обычная программа. Программа согласно алгоритму обращается к нужной библиотеке, а на самом деле загружает вредоносную. Так злоумышленники могут запустить свой код и обойти защиту на компьютере.
Кто так делает?
Этим пользуются как авторы массового вредоносного ПО (например, банковских троянов и стилеров), так и группы, совершающие целевые атаки. В 2025 году одним из активных стилеров, распространяемым таким способом, называют Lumma. «Лаборатория Касперского» фиксировала такие атаки и их варианты против организаций в России, Южной Корее, Африке и других регионах.
Сценарий атаки:
- Пользователь скачал программу с непроверенного сайта (например, плеер или утилиту) и запустил установщик.
- В установщик злоумышленник положил вместе с нужными файлами вредоносную библиотеку с тем же именем, что и у настоящей (например, someLib.dll).
- При запуске программа ищет библиотеку по имени и находит вредоносную версию в папке программы — загружает её. Пользователь может не подозревать, что это происходит.
- Вредоносная DLL выполняет код внутри приложения: собирает пароли, отправляет файлы, подключается к серверам злоумышленников или ставит другое вредоносное ПО.
Внешне компьютер может начать тормозить, показывать странные окна, или процесс, которому вы доверяли, начнёт делать подозрительные сетевые соединения. Однако неподготовленный пользователь может и не заметить каких-либо изменений в работе оборудования.
Признаки, что вы могли стать жертвой DLL-подмены
- Программа, которой вы обычно доверяете, внезапно начала вести себя странно: зависает, крашится, показывает неожиданные окна.
- Процесс делает исходящие подключения в сеть, хотя раньше этого не было.
- Антивирус/EDR сообщает о неизвестной или не подписанной DLL, загруженной в процесс.
- Появились новые автозапуски, службы или запланированные задачи без вашего участия.
- Появились сообщения о попытках входа в ваши аккаунты или о списаниях с банковской карты.
Практические рекомендации:
- Используйте только проверенные источники, скачивайте программы исключительно с официальных сайтов.
- Работайте под обычной учётной записью без административных прав, это снизит риск заражения системы.
- Включите контроль приложений на рабочих компьютерах - разрешайте запускать только доверенное ПО.
- Применяйте современные средства защиты: используйте решения, которые отслеживают поведение процессов и подозрительную активность.
- Проверяйте цифровые подписи.
- Активируйте системные механизмы защиты: регулярно обновляйте систему и приложения.
- Ограничьте пути загрузки библиотек, в настройках разработки или сборки программ указывайте только явные полные пути к DLL.
- Настройте контроль и реагирование: включите логирование загрузки DLL и оповещения в SIEM/EDR.
- Регулярно делайте резервные копии.
- Повышайте осведомлённость сотрудников.
- Защищайте учётные записи, используйте двухфакторную аутентификацию и менеджеры паролей.
Чтобы найти и остановить такие атаки, «Лаборатория Касперского» добавила в свою SIEM-систему (Kaspersky Unified Monitoring and Analysis Platform) функции на базе искусственного интеллекта. Эта модель машинного обучения постоянно анализирует информацию обо всех загруженных библиотеках и выделяет подозрительные события, похожие на подмену DLL. Сначала модель протестировали в их MDR-решении (Kaspersky Managed Detection and Response) и она помогла обнаружить и остановить несколько инцидентов.
Свяжитесь с нами для получения полной информации о функциональности и ассортименте отечественных бизнес-решений!
Обращайтесь в АРБИС по телефону в шапке профиля, письмом на электронную почту order_cib@arbis29.ru или через сообщения в нашем ВК-сообществе.
#азбукакабербезопасности
