การตรวจจับ DLL Hijacking ด้วย Machine Learning และการผนวกเข้ากับ Kaspersky SIEM
โดย ทีมงาน Kaspersky
วันที่เผยแพร่: 6 ตุลาคม 2025
เพื่อหลีกเลี่ยงการตรวจจับโดยโซลูชันความปลอดภัย อาชญากรไซเบอร์ได้ใช้เทคนิคต่าง ๆ เพื่อปิดบังกิจกรรมที่เป็นอันตรายของพวกเขา หนึ่งในวิธีการที่พบเห็นเพิ่มขึ้นในช่วงไม่กี่ปีที่ผ่านมาในการโจมตีระบบ Windows คือ DLL Hijacking ซึ่งเป็นการแทนที่ไลบรารี Dynamic-Link Libraries (DLLs) ด้วยไฟล์ที่เป็นอันตราย และบ่อยครั้งที่เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมไม่สามารถตรวจจับการใช้เทคนิคนี้ได้
เพื่อแก้ปัญหานี้ ผู้เชี่ยวชาญจาก ศูนย์วิจัยเทคโนโลยี AI ของ Kaspersky ได้พัฒนาโมเดล Machine Learning (ML) ที่สามารถตรวจจับ DLL Hijacking ได้อย่างแม่นยำสูง และโมเดลนี้ได้ถูกนำไปใช้งานแล้วในเวอร์ชันล่าสุดของระบบ SIEM ของเรา ซึ่งก็คือ Kaspersky Unified Monitoring and Analysis Platform ในบทความนี้ เราจะอธิบายถึงความท้าทายในการตรวจจับ DLL Hijacking และวิธีที่เทคโนโลยีของเราจัดการกับมัน
DLL Hijacking ทำงานอย่างไร และทำไมถึงตรวจจับได้ยาก
การเปิดตัวไฟล์ที่ไม่รู้จักในสภาพแวดล้อม Windows มักจะดึงดูดความสนใจของเครื่องมือรักษาความปลอดภัย หรือถูกบล็อกทันที DLL Hijacking โดยพื้นฐานแล้วคือความพยายามที่จะปลอมแปลงไฟล์ที่เป็นอันตรายให้เป็นไฟล์ที่รู้จักและเชื่อถือได้
การโจมตี DLL Hijacking มีหลายรูปแบบ:
1. DLL Sideloading: ผู้โจมตีเผยแพร่ไลบรารีที่เป็นอันตรายพร้อมกับซอฟต์แวร์ที่ถูกต้องตามกฎหมาย เพื่อให้ซอฟต์แวร์นั้นเรียกใช้งานไฟล์อันตราย
2. การแทนที่ DLLs มาตรฐาน: ผู้โจมตีแทนที่ไฟล์ DLLs มาตรฐานที่โปรแกรมที่ติดตั้งไว้แล้วในคอมพิวเตอร์เรียกใช้
3. การจัดการกลไกระบบ: ผู้โจมตีจัดการกลไกของระบบที่กำหนดตำแหน่งของไลบรารีที่กระบวนการ (process) จะโหลดและเรียกใช้งาน
ผลที่ตามมาคือ ไฟล์ DLL ที่เป็นอันตรายจะถูกเปิดตัวโดยกระบวนการที่ถูกต้องตามกฎหมาย ภายในพื้นที่หน่วยความจำและด้วยสิทธิ์การเข้าถึงเดียวกับกระบวนการนั้น ๆ ทำให้ระบบป้องกันปลายทาง (endpoint protection systems) ตามปกติมองว่ากิจกรรมนี้ดูถูกต้องตามกฎหมาย นั่นคือเหตุผลที่ผู้เชี่ยวชาญของเราตัดสินใจรับมือกับภัยคุกคามนี้ด้วยการใช้เทคโนโลยี AI
การตรวจจับ DLL Hijacking ด้วย Machine Learning
ผู้เชี่ยวชาญจากศูนย์วิจัยเทคโนโลยี AI ได้ฝึกฝนโมเดล ML เพื่อตรวจจับ DLL Hijacking โดยอาศัยข้อมูลทางอ้อมเกี่ยวกับไลบรารีและกระบวนการที่เรียกใช้ พวกเขาได้ระบุตัวบ่งชี้หลักของความพยายามในการจัดการไลบรารี ได้แก่: ไฟล์ที่เรียกใช้งานและไลบรารีตั้งอยู่ในเส้นทางมาตรฐานหรือไม่, มีการเปลี่ยนชื่อไฟล์หรือไม่, ขนาดและโครงสร้างของไลบรารีเปลี่ยนแปลงไปหรือไม่, ลายเซ็นดิจิทัลยังคงสมบูรณ์หรือไม่, และอื่น ๆ
พวกเขาเริ่มฝึกโมเดลด้วยข้อมูลเกี่ยวกับการโหลด Dynamic Link Libraries ซึ่งมาจากทั้งระบบวิเคราะห์อัตโนมัติภายใน และข้อมูล Telemetry ที่ไม่ระบุชื่อจาก Kaspersky Security Network (KSN) ที่ผู้ใช้ให้ความยินยอมโดยสมัครใจ ในการติดป้ายกำกับ (labeling) ผู้เชี่ยวชาญของเราใช้ข้อมูลจากฐานข้อมูลชื่อเสียงไฟล์ของเรา
โมเดลแรกค่อนข้างไม่แม่นยำ ดังนั้นก่อนที่จะเพิ่มโมเดลเข้าสู่โซลูชัน ผู้เชี่ยวชาญของเราจึงทำการทดลองซ้ำหลายครั้ง ปรับปรุงทั้งการติดป้ายกำกับชุดข้อมูลการฝึก (training dataset) และคุณสมบัติ (features) ที่บ่งชี้ถึง DLL Hijacking ผลลัพธ์คือ โมเดลในปัจจุบันสามารถตรวจจับเทคนิคนี้ได้อย่างแม่นยำสูง
การตรวจจับ DLL Hijacking ใน Kaspersky SIEM
ในระบบ SIEM โมเดลจะวิเคราะห์ข้อมูลเมตาของ DLL ที่ถูกโหลด และกระบวนการที่เรียกใช้จากข้อมูล Telemetry จากนั้นจะตั้งค่าสถานะกรณีที่น่าสงสัย และตรวจสอบคำตัดสินซ้ำกับข้อมูลคลาวด์ของ KSN ซึ่งไม่เพียงแต่ช่วยเพิ่มความแม่นยำในการตรวจจับ DLL Hijacking เท่านั้น แต่ยังช่วยลดสัญญาณเตือนที่ผิดพลาด (false positives) ด้วย
โมเดลสามารถทำงานได้ทั้งในส่วนย่อยของการสัมพันธ์ข้อมูล (correlation subsystem) และส่วนย่อยของการรวบรวมเหตุการณ์ (event collection subsystem):
• กรณีที่หนึ่ง (Correlation Subsystem): โมเดลจะตรวจสอบเฉพาะเหตุการณ์ที่ได้กระตุ้นกฎการสัมพันธ์ข้อมูลแล้วเท่านั้น ซึ่งช่วยให้สามารถประเมินภัยคุกคามได้อย่างแม่นยำยิ่งขึ้น และสร้างการแจ้งเตือนได้เร็วขึ้นหากจำเป็น เนื่องจากไม่ได้ตรวจสอบทุกเหตุการณ์ ปริมาณการเรียกใช้คลาวด์จึงไม่ส่งผลกระทบอย่างมีนัยสำคัญต่อความเร็วในการตอบสนองของโมเดล
• กรณีที่สอง (Event Collection Subsystem): โมเดลจะประมวลผลเหตุการณ์การโหลดไลบรารีทั้งหมดที่ตรงตามเงื่อนไขบางอย่าง วิธีนี้ใช้ทรัพยากรมากกว่า แต่มีคุณค่าอย่างยิ่งสำหรับการตามล่าภัยคุกคามย้อนหลัง (retrospective threat hunting)
ที่สำคัญที่สุดคือ ความแม่นยำของโมเดลจะพัฒนาขึ้นอย่างต่อเนื่องเมื่อมีการสะสมข้อมูลเกี่ยวกับภัยคุกคามและกระบวนการที่ถูกต้องตามกฎหมายมากขึ้น และเมื่ออัลกอริทึม KSN มีการพัฒนาไปตามลำดับ
ref : Detecting DLL hijacking
To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions