译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1073
术语表: /attack/glossary
程序可以指定在运行时加载的 DLL。 不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。 当 Windows Side-by-Side (WinSxS) 的 Manifests 对要加载的 DLL 的特征不够明确时,就会出现侧载漏洞。 攻击者可以利用易受侧载攻击的合法程序来加载恶意 DLL。
攻击者很可能使用这种技术来掩盖他们在合法的、可信的系统或软件进程下执行的操作。
定期更新软件。 在写保护位置安装软件。 使用 Windows 附带的程序 sxstrace.exe 以及手动来检查 manifest 文件中以确定软件中是否存在侧载漏洞。
监视进程的异常活动(例如,不需要网络却开始使用网络的进程)。 跟踪 DLL 元数据(例如散列),并将在进程执行时加载的 DLL 与以前的执行情况进行比较,以检测与补丁或更新无关的差异。