ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1073

术语表: /attack/glossary

DLL 侧载

程序可以指定在运行时加载的 DLL。 不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。 当 Windows Side-by-Side (WinSxS) 的 Manifests 对要加载的 DLL 的特征不够明确时,就会出现侧载漏洞。 攻击者可以利用易受侧载攻击的合法程序来加载恶意 DLL。

攻击者很可能使用这种技术来掩盖他们在合法的、可信的系统或软件进程下执行的操作。

缓解

定期更新软件。 在写保护位置安装软件。 使用 Windows 附带的程​​序 sxstrace.exe 以及手动来检查 manifest 文件中以确定软件中是否存在侧载漏洞。

检测

监视进程的异常活动(例如,不需要网络却开始使用网络的进程)。 跟踪 DLL 元数据(例如散列),并将在进程执行时加载的 DLL 与以前的执行情况进行比较,以检测与补丁或更新无关的差异。