Technique - T1129-

T1129 - Shared Modules

概要

Adversaries may execute malicious payloads via loading shared modules. Shared modules are executable files that are loaded into processes to provide access to reusable code, such as specific custom functions or invoking OS API functions (i.e., Native API).

Adversaries may use this functionality as a way to execute arbitrary payloads on a victim system. For example, adversaries can modularize functionality of their malware into shared objects that perform various functions such as managing C2 network communications or execution of specific actions on objective.

The Linux & macOS module loader can load and execute shared objects from arbitrary local paths. This functionality resides in dlfcn.h in functions such as dlopen and dlsym. Although macOS can execute .so files, common practice uses .dylib files.(Citation: Apple Dev Dynamic Libraries)(Citation: Linux Shared Libraries)(Citation: RotaJakiro 2021 netlab360 analysis)(Citation: Unit42 OceanLotus 2017)

The Windows module loader can be instructed to load DLLs from arbitrary local paths and arbitrary Universal Naming Convention (UNC) network paths. This functionality resides in NTDLL.dll and is part of the Windows Native API which is called from functions like LoadLibrary at run time.(Citation: Microsoft DLL)

管理者によるコメント

T1129「Shared Modules」（共有モジュール） は、攻撃者がOSの 「共有ライブラリ（WindowsではDLL、Linuxでは.so）」 を読み込む正規のメカニズムを悪用して、悪意のあるコードを実行する手法です。

1. 概要

この手法で攻撃者は、「既存の正規プロセスを利用した、隠密性の高いコード実行」を実現します。

何を実現できるのか:
- コード実行: 自身を独立したプロセスとして起動するのではなく、すでに動いている信頼されたプロセス（例：エクスプローラーやブラウザ）にモジュールを読み込ませることで、攻撃コードを動かします。
- 検知の回避: セキュリティ製品は「信頼されたプロセス」の動きを細かく監視しない傾向があるため、その内部で動くことで監視の目を盗みます。
- 依存関係の悪用: プログラムが起動する際に自動的に特定の名前のファイルを読み込む性質を突き、正規のファイルのふりをして自身を実行させます。

2. 攻撃の流れ

攻撃者は、OSの「ローダー（プログラムを読み込む仕組み）」を騙す形で活動します。

モジュールの配置: 悪意のあるDLLファイルを、ターゲットが読み込みそうな場所（アプリケーションと同じフォルダなど）に配置します。
読み込みのトリガー:
- 直接呼び出し: LoadLibrary などのAPIを直接叩いて読み込ませます（T1106 Native APIとの組み合わせ）。
- サイドローディング: 正規のプログラムが特定のDLLを必要としている隙を突き、同名の悪意あるDLLを優先的に読み込ませます。
コードの実行: DLLがメモリにロードされると、その初期化関数（DllMainなど）が自動的に実行され、攻撃が開始されます。

3. 防御・対策

「どこから何が読み込まれるか」を厳格に管理することが重要です。

署名チェックの強制: デジタル署名のない、あるいは信頼されていない発行元からの共有モジュールの読み込みを制限します。
Safe DLL Search Modeの有効化: Windowsにおいて、カレントディレクトリ（現在開いている場所）よりもシステムディレクトリを優先してDLLを探すように設定し、偽物の混入を防ぎます。
読み込みログの監視: WindowsイベントログやEDRを用いて、特定のプロセスが「普段読み込まない場所（Tempフォルダなど）」からDLLをロードしていないか監視します。
AppLocker / WDAC: 実行許可リストにないDLLのロードをOSレベルでブロックします。

4. 重要ポイント

「他力本願」な実行: 攻撃者自身が「実行ボタン」を押すのではなく、OSや他のアプリが「必要だと思って勝手に読み込む」状況を作るため、非常に巧妙です。
DLL検索順序の悪用: OSがライブラリを探す順番（検索パス）の不備を突く攻撃は、長年使われている定番の手法です。

5. 関連する主なCWE

CWE-427: Uncontrolled Search Path Element (制御されていない検索パス要素): アプリケーションがライブラリを探す場所を攻撃者が制御できてしまい、意図しないファイルが実行される不備。
CWE-114: Process Control: 外部から指定されたライブラリをそのまま読み込んでしまう問題。

6. 関連する代表的なCVE・事例

DLL Side-Loading: 多くの国家背景の攻撃グループ（APT10やAPT41など）が、正規のアンチウイルスソフトやGoolge Chromeなどのインストーラーの横に悪意のあるDLLを置いて、正規プロセスとして実行させる手法を好んで使います。
CVE-2010-2568: Windowsのショートカットアイコンの読み込みに関する脆弱性。DLLの読み込みメカニズムを悪用して、USBメモリを挿すだけで感染させるStuxnetなどで使われました。
CVE-2020-1571: Windows サービスの読み込みに関する脆弱性。本来の場所ではない場所からDLLを読み込ませることで特権昇格を行う手法に関連しました。

実務上のヒント

システム上で「身に覚えのない場所（Downloads や Public フォルダなど）」からロードされているDLLを発見した場合、それは T1129 を用いた侵害の可能性が高い非常に重要な兆候です。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design