DLL-Sideloading-Engine Sidewatch

Die Sidewatch-Engine erkennt Angriffe, die DLL-Sideloading-Techniken verwenden.  

DLL-Sideloading ist eine Technik, die häufig für fortgeschrittene Angriffe und Internetkriminalität zum Einsatz kommen. Dabei wird eine legitime ausführbare Datei verwendet, um eine manipulierte Bibliothek zu laden.

Angreifer machen sich zunutze, dass ausführbare Dateien häufig als vertrauenswürdig gelten oder digital signiert sind und deshalb weniger streng überwacht werden. So können sie Schadcode ausführen, ohne von Cybersicherheitslösungen entdeckt zu werden.

Dieser Schadcode kann in eine legitime DLL eingebettet sein und wird oft verschlüsselt, komprimiert oder verschleiert, um einer Erkennung zu entgehen.

Um solche Aktivitäten frühzeitig zu erkennen, überwacht die Sidewatch-Engine das Verhalten und die Aktivitäten von .dll-Dateien kontinuierlich.

Legitime ausführbare Dateien und DLLs sind in großer Zahl vorhanden – eine vollständige Liste an Blockierungsregeln zu pflegen, die alle potenziellen Kombinationen abdeckt, wäre extrem aufwändig und kaum umsetzbar.

Zudem ist dieser Ansatz ineffektiv, da sich die möglichen Kombinationen zwischen ausführbaren Dateien und Bibliotheken ständig weiterentwickeln.

Um einen wirksamen Schutz vor DLL-Sideloading zu gewährleisten, analysiert die Sidewatch-Engine das Verhalten rund um das Laden von Bibliotheken. Sie korreliert verschiedene Aktivitäten – etwa das Schreiben einer Datei, deren Signatur, Autor, Speicherort, Ordnerinhalt oder auch Vorgänge, die dem Laden einer Bibliothek vorausgehen.

Durch diese umfassende Verhaltensanalyse erkennt die Engine verdächtige oder bisher unbekannte Aktivitäten und kann potenzielle Bedrohungen automatisch blockieren.