ThreatCloud AI Big Data


Mit DeepDLL gegen verseuchte DLL-Dateien vorgehen
Check Point führt KI-Modell, um Zero Day-DLL-Bedrohungen abzuwehren


Check Point Software Technologies geht nun mithilfe künstlicher Intelligenz gegen Dynamic Link Library (DLL)-Bedrohungen vor. DeepDLL ist ein neues KI-Modell zur Abwehr von Zero Day DLL-Attacken. Die Engine, die anhand von Millionen von Beispielen trainiert wurde, nutzt "ThreatCloud AI Big Data" und erkennt einzigartige, schädliche Merkmale von DLLs. Das Modell wurde bereits in "ThreatCloud AI" integriert.

Die von DeepDLL extrahierten Merkmale weisen auf potenziell bösartige Aktivitäten hin, die von den Sicherheitsforschern identifiziert wurden, zum Beispiel Dateimetadaten und kompilierte Strukturen (Kommunikation, Verschlüsselung, Codestruktur, usw.). Außerdem erkennt die Engine die Angriffskette der DLL und weiß daher, ob sie per E-Mail oder ZIP-Datei eintrifft, oder von einer ausführbaren Datei abgelegt wird. Schließlich werden alle Merkmale an das neue KI-Modell gesendet, welches die Daten analysiert und Muster erkennt. Durch die Nutzung der Informationen von ThreatCloud AI hat Check Point in den Ergebnissen von DeepDLL eine Trefferquote von 99,7 Prozent erreicht.

DLLs sind eine Art von Dateien in Windows-Betriebssystemen, die Code und Daten enthalten, welche von mehreren Programmen gleichzeitig verwendet werden. Diese Dateien helfen Programmen, ihre Ressourcen effizient zu nutzen und die Gesamtgröße der Software zu verringern. Ihr Nutzen macht sie zu einem verlockenden Ziel für Angreife und daher ist der Missbrauch von DLL-Dateien zu einer beliebten Methode für Hacker geworden, um sich zu verstecken und die Kontrolle über Zielsysteme zu erlangen.

Angreifer manipulieren DLLs, um schädlichen Code in legitime Prozesse einzuschleusen. Im Folgenden eine Aufschlüsselung der häufig verwendeten Techniken:

>> DLL-Hijacking: Hierbei platziert ein Angreifer eine bösartige DLL desselben Namens einer legitimen DLL an einem Speicherort, auf den das System zugreift, bevor den Speicherort der echten DLL durchsucht. Wenn das System also ausgeführt wird, lädt es die bösartige DLL und hält sie für die rechtmäßige DLL.

>> DLL-Side-Loading: Ähnlich wie beim Hijacking wird bei dieser Technik eine Anwendung dazu verleitet, eine schädliche DLL zu laden, indem sie in ihrem Pfad platziert wird.

>> DLL-Einschleusung: Hierbei handelt es sich um einen direkten Ansatz, bei dem schädlicher Code über eine DLL in einen laufenden Prozess injiziert wird, so dass der Angreifer seinen Code im Kontext einer anderen Anwendung ausführen kann.

In einem Anwendungsfall wurde eine DLL-Datei von DeepDLL bei einem Unternehmen in den Niederlanden eindeutig erkannt. Die bösartige DLL, die in einem Microsoft Installationsprogramm (MSI) enthalten war, das auf einen Rechner heruntergeladen worden ist, wurde bei der Ausführung blockiert. Die MSI-Dateien enthielten mehrere Elemente, unter denen auch ein entsprechendes Beispiel gefunden wurde. Es hatte jedoch keine DLL-Erweiterung, wurde aber vom Threat Emulation Classifier als DLL identifiziert.

DeepDLL war in der Lage, dieses Beispiel zu verhindern, bevor es die Umgebung des Kunden erreicht hatte, indem es dessen bösartige Funktionen fand. Check Points Kunden, die Quantum- und Harmony-Produkte mit aktivierter Threat Emulation einsetzen, sind vor den beschriebenen Kampagnen geschützt. (Check Point Software Technologies: ra)

eingetragen: 20.01.25
Newsletterlauf: 25.03.25

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Produkte

  • Revisionssicheres Journaling des E-Mail-Verkehrs

    Im Rahmen einer strategischen Partnerschaft haben NoSpamProxy und Dropsuite ihre Produkte für E-Mail-Sicherheit, E-Mail-Archivierung und -Backup integriert. NoSpamProxy ist eine Anbieterin von Mail Security Cloud Services, der Unternehmen vor Cyber-Bedrohungen wie Spam, Phishing und Malware schützt. Dropsuite, ein Spezialist für Cloud-basierte Backup- und Recovery-Lösungen, bietet eine zuverlässige Lösung für die E-Mail-Archivierung und -Sicherung. Durch diese Partnerschaft können Managed Service Provider (MSPs) die preisgekrönte E-Mail-Sicherheit von NoSpamProxy nahtlos mit der robusten E-Mail-Archivierungslösung von Dropsuite über eine intuitive Benutzeroberfläche kombinieren.

  • KI-Mesh für umfassenden Datenkontext

    Forcepoint bringt ihre Next-Generation Data-Detection-and-Response-Lösung (DDR) auf den Markt. Mit Hilfe von Künstlicher Intelligenz ermöglicht die Lösung eine schnelle und präzise Datenklassifizierung und Risikoanalyse sowie eine automatisierte Abwehr von Bedrohungen.

  • Entwicklerfreundliches ASPM

    Checkmarx, Unternehmen im Bereich Cloud-native Application Security, stellt Integrationen der branchenweit leistungsstärksten ASPM-Lösung (Application Security Posture Management) für die gängigsten integrierten Entwicklungsumgebungen (IDEs) vor. Die Cloud-native Checkmarx One Application-Security-Plattform verbessert die Developer Experience bei AppSec-Tasks spürbar und bietet hilfreiche Tools zur Priorisierung und Behebung von Schwachstellen, ohne Entwickler-Workflows zu unterbrechen - sodass diese den Unternehmensanforderungen entsprechend optimal skaliert werden können.

Active Directory nach einem Cyberangriff SentinelOne sichert KI-Dienste

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen