V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1044Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Ограничение загрузки библиотек

Ограничение загрузки библиотек предполагает внедрение средств безопасности для обеспечения загрузки в процессы только доверенных и проверенных библиотек (DLL, общих объектов и т. д.). Злоумышленники нередко злоупотребляют механизмами внедрения DLL, подмены порядка поиска DLL (DLL Search Order Hijacking) или LD_PRELOAD для выполнения вредоносного кода путём принудительной загрузки недоверенных библиотек операционной системой. Данная мера может быть реализована следующими способами: Применение безопасных практик загрузки библиотек: - Включайте `SafeDLLSearchMode` в Windows. - Ограничивайте использование `LD_PRELOAD` и `LD_LIBRARY_PATH` в системах Linux. Применение подписания кода: - Требуйте наличия цифровых подписей для всех библиотек, загружаемых в процессы. - Используйте инструменты Signtool и WDAC для обеспечения выполнения подписанных DLL. Усиление среды: - Защищайте пути к библиотекам и каталоги для предотвращения размещения злоумышленниками поддельных библиотек. - Отслеживайте каталоги, доступные для записи пользователям, и конфигурации системы на предмет несанкционированных изменений. Аудит и мониторинг загрузки библиотек: - Включайте `Sysmon` в Windows для мониторинга подозрительных загрузок библиотек. - Используйте `auditd` в Linux для мониторинга путей к общим библиотекам и изменений конфигурационных файлов. Применение решений контроля приложений: - Внедряйте AppLocker, WDAC или SELinux для разрешения загрузки только доверенных библиотек. *Инструменты реализации* Инструменты для Windows: - AppLocker: разрешённые списки приложений для DLL. - Windows Defender Application Control (WDAC): ограничение выполнения несанкционированных библиотек. - Signtool: проверка и применение подписания кода. - Sysmon: мониторинг событий загрузки DLL (Event ID 7). Инструменты для Linux: - auditd: мониторинг изменений путей к библиотекам и критически важным файлам. - SELinux/AppArmor: определение политик ограничения загрузки библиотек. - ldconfig и chattr: защита файлов конфигурации LD и предотвращение несанкционированных изменений. Межплатформенные решения: - Wazuh или OSSEC: мониторинг целостности файлов на предмет изменений библиотек. - Tripwire: обнаружение и оповещение о несанкционированных изменениях библиотек.

Связанные техники

T1547.008
Драйвер LSASS
T1574
Перехват потока выполнения
T1574.001
DLL
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.