DLL-Sideloading-Engine Sidewatch
Eine Engine für die Identifizierung von DLL-Hacking-Angriffen.

Die Sidewatch-Engine erkennt Angriffe, die DLL-Sideloading-Techniken verwenden.
DLL-Sideloading ist eine Technik, die häufig für fortgeschrittene Angriffe und Internetkriminalität zum Einsatz kommen. Dabei wird eine legitime ausführbare Datei verwendet, um eine manipulierte Bibliothek zu laden.
Angreifer machen sich zunutze, dass ausführbare Dateien häufig als vertrauenswürdig gelten oder digital signiert sind und deshalb weniger streng überwacht werden. So können sie Schadcode ausführen, ohne von Cybersicherheitslösungen entdeckt zu werden.
Dieser Schadcode kann in eine legitime DLL eingebettet sein und wird oft verschlüsselt, komprimiert oder verschleiert, um einer Erkennung zu entgehen.
Um solche Aktivitäten frühzeitig zu erkennen, überwacht die Sidewatch-Engine das Verhalten und die Aktivitäten von .dll-Dateien kontinuierlich.

Legitime ausführbare Dateien und DLLs sind in großer Zahl vorhanden – eine vollständige Liste an Blockierungsregeln zu pflegen, die alle potenziellen Kombinationen abdeckt, wäre extrem aufwändig und kaum umsetzbar.
Zudem ist dieser Ansatz ineffektiv, da sich die möglichen Kombinationen zwischen ausführbaren Dateien und Bibliotheken ständig weiterentwickeln.
Um einen wirksamen Schutz vor DLL-Sideloading zu gewährleisten, analysiert die Sidewatch-Engine das Verhalten rund um das Laden von Bibliotheken. Sie korreliert verschiedene Aktivitäten – etwa das Schreiben einer Datei, deren Signatur, Autor, Speicherort, Ordnerinhalt oder auch Vorgänge, die dem Laden einer Bibliothek vorausgehen.
Durch diese umfassende Verhaltensanalyse erkennt die Engine verdächtige oder bisher unbekannte Aktivitäten und kann potenzielle Bedrohungen automatisch blockieren.



Mehr erfahren

EDR, CSPN-zertifiziert durch ANSSI

Perks of Sigma and YARA rules in an EDR
Sigma and YARA are rule formats for detecting threats – malicious behaviors and files (or binaries) respectively. What are the…

EDR mit Künstliche Intelligenz-Engine – Ashley

EDR mit Ransomware-Engine - Ransomguard

EDR mit Signatur-Engine – YARA-Regeln

EDR mit Verhaltens-Engine – Sigma-Regeln
