СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
06.10.2025
#Dev#ИБ#ИИ#Облака

Модель Kaspersky в SIEM обнаруживает DLL hijacking и sideloading

Модель Kaspersky в SIEM обнаруживает DLL hijacking и sideloading

Источник: securelist.com

В рамках недавнего тестирования Kaspersky успешно встроила модель машинного обучения в свою SIEM-систему и продемонстрировала её эффективность в обнаружении атак, связанных с DLL hijacking, в частности — методом DLL sideloading. Новая интеграция позволила выявлять сложные сценарии злоупотребления библиотеками, которые ранее могли оставаться незамеченными.

Как работает модель

Модель проводит тщательную проверку всех загружаемых в систему DLL-библиотек, сопоставляя локальные атрибуты — пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных и более широких поведенческих индикаторов повышает точность обнаружения и минимизирует количество ложных срабатываний.

Зафиксированные инциденты на пилотном этапе

Во время пилотного внедрения в службу управляемого обнаружения и реагирования (MDR) модель выявила несколько реальных инцидентов. Среди них:

  • ToddyCat: группа атак использовала уязвимость SharePoint — CVE-2021-27076 — для выполнения команд, после чего злоумышленники запустили инструмент Cobalt Strike, замаскированный под законную системную библиотеку.
  • Infostealer: вредоносное ПО выдавало себя за менеджер политик, что подтверждается событием загрузки DLL, зафиксированным SIEM-системой.
  • Вредоносный загрузчик, маскирующийся под компонент обеспечения безопасности: библиотека wsc.dll была загружена с USB-накопителя и распознана как событие DLL hijacking.

Значение для корпоративной безопасности

Интеграция модели машинного обучения в SIEM обеспечила проактивную защиту: система эффективно обнаруживала попытки использования DLL в злонамеренных целях, которые могли бы остаться незамеченными при традиционных методах мониторинга. По словам отчета, эта интеграция позволила

«обеспечить проактивную защиту от атак DLL hijacking»

— результат, важный для организаций с критической инфраструктурой и большим количеством корпоративных приложений.

Ожидается, что дальнейший сбор данных и регулярные обновления алгоритмов в рамках KSN еще больше повысят точность модели и укрепят её роль как ключевого компонента мер корпоративной кибербезопасности.

Вывод

Опыт Kaspersky демонстрирует, что сочетание локального анализа атрибутов DLL и глобальной базы поведенческих индикаторов через облако — эффективный путь борьбы с современными техниками скрытия вредоносного ПО, такими как DLL sideloading. Для организаций это ещё одно подтверждение важности внедрения ML-решений в SIEM и MDR-процессы для своевременного обнаружения и нейтрализации сложных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: