TTL OSINT

Как эмуляция опасным двигателя архитектура ИИ предотвращает DLL-файл приложения (троян) Атак

Механизм эмуляции угроз ThreatCloud AI был разработан для предотвращения атак с боковой загрузкой библиотек DLL (троянских программ), которые обманом заставляют законные бизнес-приложения запускать скомпрометированные, но невинно выглядящие файлы библиотеки динамических ссылок (DLL). Этот метод позволяет киберпреступникам выполнять вредоносный код в целевой системе, используя способ загрузки библиотек DLL в Windows. В недавнем исследовании механизмы эмуляции угроз Check Point обнаружили и предотвратили атаку с боковой загрузкой DLL на одного из своих клиентов в Мексике, где вредоносная программа использовала законные ресурсы Amazon и GitHub для осуществления атак с боковой загрузкой DLL. Механизм эмуляции угроз анализирует пары EXE-DLL, чтобы определить, сопровождается ли законный EXE-файл ненадлежащим партнером DLL, проверяя, подвержен ли исполняемый файл дополнительной загрузке DLL для определенного имени библиотеки DLL, и оценивая текущую библиотеку DLL в соответствии с этим условием. Движок использует обширные знания ThreatCloud AI для выявления известных исполняемых файлов, уязвимых для дополнительной загрузки DLL, и выполняет поиск сопутствующей библиотеки DLL. Если такая библиотека найдена, она подвергается эмуляции вместе с исполняемым файлом, что запускает вредоносные действия. Клиенты Check Point, использующие продукты Quantum и Harmony с активированной эмуляцией угроз, защищены от подобных кампаний.< / p>

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: href="https://blog.checkpoint.com/security/how-threatcloud-ais-threat-emulation-engine-prevents-dll-sideloading-trojan-attacks/">https://blog.checkpoint.com/security/how-threatcloud-ais-threat-emulation-engine-prevents-dll-sideloading-trojan-attacks/

Примеры признаков компромисса:

• http://pushline.gotdns.ch/onBo/

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал