Technique - T1073-

T1073 - DLL Side-Loading

概要

Programs may specify DLLs that are loaded at runtime. Programs that improperly or vaguely specify a required DLL may be open to a vulnerability in which an unintended DLL is loaded. Side-loading vulnerabilities specifically occur when Windows Side-by-Side (WinSxS) manifests (Citation: MSDN Manifests) are not explicit enough about characteristics of the DLL to be loaded. Adversaries may take advantage of a legitimate program that is vulnerable to side-loading to load a malicious DLL. (Citation: Stewart 2014)

Adversaries likely use this technique as a means of masking actions they perform under a legitimate, trusted system or software process.

管理者によるコメント

1. 概要

このT1073は、「正規のプログラムが特定のDLLを読み込む仕組み」を悪用して、攻撃者の悪意あるコードを実行させるものです。

何を実現できるのか: セキュリティ製品（アンチウイルスやEDR）の監視を潜り抜け、信頼されたプロセスのアドレス空間内でマルウェアを実行できます。
信頼の悪用: デジタル署名された正規の実行ファイル（exe）を利用するため、実行時の検知やホワイトリスト制限を回避しやすくなります。

2. 攻撃の流れ

攻撃者は一般的に以下の3つのファイルを同じディレクトリに配置します。

正規の実行ファイル (A.exe): 有名ベンダーの署名があるクリーンなファイル。
悪意のあるDLL (B.dll): A.exeが起動時に読み込もうとする名前と同じ名前に偽装したマルウェア。
暗号化されたペイロード (C.datなど): 実際の攻撃コード（オプション）。

[攻撃ステップ]

配置: 攻撃者はこれらを標的のPCに保存します。
実行: ユーザーやスケジュールタスクが A.exe を起動します。
読み込み: WindowsのDLL検索順序の仕様により、システムフォルダにある本物のDLLよりも先に、同じフォルダにある悪意のある B.dll が優先的に読み込まれます。
発火: A.exe の権限とプロセス名で、悪意のあるコードが動作を開始します。

3. 防御・対策

DLLサイドローディングは「正規プロセスの動作」に見えるため、防ぐにはOSレベルおよび開発レベルの対策が必要です。

DLL検索順序の固定: 開発者は SetDefaultDllDirectories を使用して、DLLを検索するパスを制限する。
絶対パスによるロード: DLLを読み込む際（LoadLibrary）、相対パスではなくフルパスを指定するようにプログラムを修正する。
不審なファイルの監視: 署名済みの実行ファイルと同じフォルダにある、署名のないDLLや、通常そのexeと一緒に存在しないはずのDLLをEDRで検知する。
ディレクトリの保護: C:\Windows や C:\Program Files などの書き込み制限が厳しい場所にアプリケーションを配置し、攻撃者がファイルを置けないようにする。

4. 重要ポイント

検出回避の王道: ファイル単体では「ただの正規ファイル」に見えるため、静的解析をパスしやすいのが最大の特徴です。
権限の継承: 管理者権限で動作する正規ツールをサイドローディング対象に選べば、攻撃コードも自動的に管理者権限で動かすことができます。

5. 関連する主なCWE

CWE-427: Uncontrolled Search Path Element (制御されていない検索パス要素): アプリケーションが外部ライブラリを検索する際、攻撃者が制御可能な場所を確認してしまう脆弱性。
CWE-426: Untrusted Search Path (信頼できない検索パス): DLLを読み込むパスが不適切に構成されていること。

6. 関連する代表的なCVE

この手法はアプリケーションの「仕様」や「設計」を突くため、OSの脆弱性というよりは各ソフトウェア個別の脆弱性として報告されます。

CVE-2010-3133: 多くのWindowsアプリケーションで見られた、DLL検索順序に関する初期の広範な問題。
CVE-2020-1599: NVIDIAコントロールパネルにおけるDLLサイドローディングの脆弱性。
CVE-2023-27350: 特定の印刷管理ソフトウェアで見つかった、権限昇格を伴うサイドローディング。

※実際には、APT41や Lazarus といった国家背景を持つ攻撃グループが、独自のツールを動かすために「脆弱性のない正規ソフト（VLCメディアプレーヤーの旧版など）」を悪用してこのテクニックを頻繁に使用します。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design