如今的威胁形势犹如硬币的两面:一方面,组织在实施强有力的安全措施,另一方面,网络攻击者不断开发新技术来规避这些措施。攻击者常用的一种规避检测的技术是 DLL 旁加载。在这种隐蔽攻击中,攻击者悄无声息地将恶意代码潜入组织的安全防线。
首先,先讲讲基础知识。动态链接库(DLL)是一种共享库,包含多个程序同时使用的代码和数据。应用程序依赖 DLL 来共享公共函数,而不必将这些函数包含在自身代码内。例如,许多应用程序依赖 DLL 来处理显示图形等常见任务。DLL 对于添加更新和改进特别有用,因为 DLL 文件可以轻松替换以提供更新,而无需重新编写整个应用程序。然而,攻击者已学会利用 DLL 作为进入系统的后门。
在 DLL 旁加载中,攻击者用恶意代码替换 DLL 文件,当应用程序加载 DLL 时即被感染。攻击者对这些文件进行微妙修改,不影响执行流程,因而容易被忽视。
为什么杀毒软件不能检测 DLL 旁加载引入的恶意软件?虽然杀毒解决方案设计用来检测恶意文件,但其静态分析往往依赖基于签名的检测来识别恶意模式。在 DLL 旁加载中,由于攻击者对恶意代码进行了加密,能够躲避签名检测。此外,当恶意代码在可信应用程序中运行时,行为偏差很小,更难检测。
这正是下一代杀毒解决方案发挥作用的地方。与专注于扫描硬盘上存储文件的传统杀毒工具不同,下一代杀毒能够实时主动监控进程内存,识别解密并加载到内存中的恶意代码,从而检测 DLL 旁加载攻击。
一个不算令人意外的事实是,规避检测作为服务在暗网中已可获取。仅在 2025 年上半年,暗网上就出现了四个提供 DLL 旁加载服务的新渠道,显示其流行程度不断增加。有了这些地下服务的规避支持,攻击者可以更专注于攻击的后期阶段,如数据窃取。
为降低 DLL 旁加载风险,组织应实施应用控制,仅允许可信应用在网络中运行。虽然这并不能直接阻止 DLL 旁加载,但通过阻止攻击者执行未经授权的应用以加载恶意文件,限制了攻击者的选择,减少了整体攻击面。此外,组织还可采用利用 AI 和机器学习算法检测及阻止威胁的下一代杀毒解决方案。
想免费体验这些功能吗?立即开始您的 30 天免费试用 ManageEngine Endpoint Central.