Техника DLL Hijacking позволяет злоумышленникам обойти защиту на устройстве жертвы и совершить атаку
По данным «Лаборатории Касперского», число кибератак с подменой DLL (Dynamic Link Library Hijacking) в России в первом полугодии 2025 года по сравнению с аналогичным периодом в 2024 году увеличилось в 4 раза.
DLL Hijacking — распространённая техника, когда атакующие подменяют DLL-файлы (библиотеки), которые загружает и выполняет легитимное ПО в процессе своей работы, на вредоносные с таким же именем. Это позволяет злоумышленникам обойти защиту на устройстве жертвы и совершить атаку. Подмену библиотек используют как создатели массового вредоносного ПО, например банковских троянцев, так и группы, совершающие целевые кибератаки. Например, подобным образом распространяется Lumma, один из наиболее активных стилеров в 2025 году. «Лаборатория Касперского» наблюдала эту технику и её вариации, такие как DLL Sideloading*, в таргетированных кампаниях против организаций в России, Южной Корее, Африке, а также в других странах и регионах.
Для защиты от подобных атак «Лаборатория Касперского» внедрила в свою SIEM-систему Kaspersky Unified Monitoring and Analysis Platform ИИ-функциональность, которая непрерывно анализирует информацию обо всех загруженных библиотеках. Она реализована на базе модели машинного обучения, которая способна выделять события, похожие на DLL Hijacking, в отдельную категорию. Предварительно модель была протестирована в решении Kaspersky Managed Detection and Response, где помогла обнаружить и предотвратить несколько инцидентов, связанных с подменой библиотек.
«Мы наблюдаем рост числа кибератак с подменой DLL — когда в результате манипуляций злоумышленников легитимная программа загружает подменную библиотеку вместо настоящей, что даёт возможность запустить вредоносный код. Эту технику сложно обнаружить, и здесь на помощь ИБ-специалистам приходит искусственный интеллект. Использование передовых методов защиты, усиленных ИИ-технологиями, сегодня необходимо, чтобы отражать новые киберугрозы и обеспечивать безопасность критически важных систем», — комментирует Анна Пиджакова, исследователь данных в «Лаборатории Касперского».
На сайте Securelist можно подробнее узнать о том, как была разработана модель машинного обучения для обнаружения атак с подменой DLL и как она была интегрирована в SIEM-систему «Лаборатории Касперского».
Подробная информация о Kaspersky Unified Monitoring and Analysis Platform доступна на странице продукта.
* DLL Sideloading — вид атаки на устройства под управлением Windows, при которой вредоносная библиотека DLL распространяется вместе с легитимным приложением, которое её выполняет.
