{"id":24380,"date":"2025-10-17T09:00:53","date_gmt":"2025-10-17T12:00:53","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24380"},"modified":"2025-10-16T12:33:39","modified_gmt":"2025-10-16T15:33:39","slug":"dll-hijacking-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dll-hijacking-in-kaspersky-siem\/24380\/","title":{"rendered":"Detec\u00e7\u00e3o de sequestro de DLL"},"content":{"rendered":"

Para evitar a detec\u00e7\u00e3o por solu\u00e7\u00f5es de seguran\u00e7a, cibercriminosos utilizam diversas t\u00e9cnicas para mascarar suas atividades maliciosas. Um dos m\u00e9todos cada vez mais vistos nos \u00faltimos anos em ataques a sistemas Windows \u00e9 o sequestro de DLL<\/a>: substitui\u00e7\u00e3o de bibliotecas de v\u00ednculo din\u00e2mico (DLLs) por bibliotecas maliciosas. As ferramentas de seguran\u00e7a tradicionais muitas vezes n\u00e3o detectam essa t\u00e9cnica. Para resolver esse problema, nossos colegas do Kaspersky AI Technology Research Center desenvolveram um modelo de machine learning capaz de detectar sequestro de DLL com alta precis\u00e3o. Esse modelo j\u00e1 foi implementado na vers\u00e3o mais recente do nosso [SIEM Placeholder] sistema de SIEM, a Kaspersky Unified Monitoring and Analysis Platform [\/placeholder]. Nesta postagem, explicamos os desafios da detec\u00e7\u00e3o de sequestro de DLL e como nossa tecnologia os supera.<\/p>\n

Como o sequestro de DLL funciona e por que \u00e9 dif\u00edcil detect\u00e1-lo<\/h2>\n

A execu\u00e7\u00e3o repentina de um arquivo desconhecido em um ambiente Windows inevitavelmente chama a aten\u00e7\u00e3o das ferramentas de seguran\u00e7a, ou \u00e9 simplesmente bloqueada. Basicamente, o sequestro de DLL \u00e9 uma tentativa de fazer um arquivo malicioso parecer um arquivo leg\u00edtimo e confi\u00e1vel. H\u00e1 diversas varia\u00e7\u00f5es de sequestro de DLL: uma \u00e9 quando os atacantes distribuem uma biblioteca maliciosa junto com software leg\u00edtimo (DLL sideloading<\/a>) para que o software o execute; outra \u00e9 quando os atacantes substituem DLLs padr\u00e3o que s\u00e3o chamadas por programas j\u00e1 instalados no computador; e tamb\u00e9m quando os atacantes manipulam mecanismos do sistema que determinam a localiza\u00e7\u00e3o da biblioteca que um processo carrega e executa. Como resultado, o arquivo de DLL malicioso \u00e9 executado por um processo leg\u00edtimo dentro de seu pr\u00f3prio espa\u00e7o de endere\u00e7amento e com seus privil\u00e9gios, levando os sistemas tradicionais de prote\u00e7\u00e3o de endpoint a considerarem essa atividade leg\u00edtima. \u00c9 por isso que nossos especialistas decidiram combater essa amea\u00e7a com o uso de tecnologias de IA.<\/p>\n

Detec\u00e7\u00e3o de sequestro de DLL com ML<\/h2>\n

Os especialistas do AI Technology Research Center treinaram um modelo de ML para detectar sequestros de DLL com base em informa\u00e7\u00f5es indiretas sobre a biblioteca e o processo que a chamou. Eles identificaram os principais indicadores de uma tentativa de manipular uma biblioteca: se o arquivo execut\u00e1vel e a biblioteca est\u00e3o localizados em caminhos padr\u00e3o, se o arquivo foi renomeado, se o tamanho e a estrutura da biblioteca foram alterados, se sua assinatura digital est\u00e1 intacta e assim por diante. Inicialmente, os especialistas treinaram o modelo com dados sobre o carregamento de bibliotecas de v\u00ednculo din\u00e2mico, provenientes de sistemas internos de an\u00e1lise autom\u00e1tica e de telemetria an\u00f4nima da Kaspersky Security Network (KSN)<\/a>, fornecida voluntariamente por nossos usu\u00e1rios. Para rotular os dados, nossos especialistas utilizaram informa\u00e7\u00f5es de nossos bancos de reputa\u00e7\u00e3o de arquivos.<\/p>\n

Como o primeiro modelo apresentou baixa precis\u00e3o, nossos especialistas realizaram diversas itera\u00e7\u00f5es antes de integr\u00e1-lo \u00e0 solu\u00e7\u00e3o, aprimorando tanto o conjunto de dados de treinamento quanto os indicadores de sequestro de DLL. Como resultado, o modelo agora detecta essa t\u00e9cnica com alta precis\u00e3o. No Securelist, nossos colegas publicaram um artigo detalhado<\/a> sobre como eles desenvolveram essa tecnologia, desde a hip\u00f3tese inicial at\u00e9 os testes no [MDR placeholder] Kaspersky Managed Detection and Response [\/placeholder], e finalmente a aplica\u00e7\u00e3o pr\u00e1tica em nossa plataforma de SIEM.<\/p>\n

Detec\u00e7\u00e3o de sequestros de DLL no Kaspersky SIEM<\/h2>\n

No sistema SIEM, o modelo analisa os metadados das DLLs carregadas e dos processos que as acionaram a partir da telemetria, sinaliza casos suspeitos e, em seguida, valida seu veredito cruzando as informa\u00e7\u00f5es com os dados da nuvem KSN. Isso n\u00e3o apenas melhora a precis\u00e3o da detec\u00e7\u00e3o de sequestros de DLL, mas tamb\u00e9m reduz os falsos positivos. O modelo pode operar no subsistema de correla\u00e7\u00e3o e no subsistema de coleta de eventos.<\/p>\n

No primeiro caso, ele verifica apenas os eventos que j\u00e1 acionaram regras de correla\u00e7\u00e3o. Isso permite uma avalia\u00e7\u00e3o de amea\u00e7as mais precisa e uma gera\u00e7\u00e3o de alertas mais r\u00e1pida, se necess\u00e1rio. Como nem todos os eventos s\u00e3o verificados, o volume de consultas na nuvem n\u00e3o afeta significativamente a velocidade de resposta do modelo.<\/p>\n

No segundo caso, o modelo processa todos os eventos de carregamento da biblioteca que atendem a determinadas condi\u00e7\u00f5es. Esse m\u00e9todo consome mais recursos, mas \u00e9 essencial para a identifica\u00e7\u00e3o proativa de amea\u00e7as de forma retrospectiva.<\/p>\n

Em outra postagem no Securelist, especialistas do grupo de Pesquisa Antimalware explicaram em detalhes<\/a> como o modelo de detec\u00e7\u00e3o de sequestro de DLL ajuda o Kaspersky SIEM a reconhecer ataques direcionados, incluindo casos reais de detec\u00e7\u00e3o precoce de incidentes.<\/p>\n

O mais importante \u00e9 que a precis\u00e3o do modelo continuar\u00e1 a aumentar, \u00e0 medida que se acumulam mais dados sobre amea\u00e7as e processos leg\u00edtimos e os algoritmos da KSN evoluem.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nossos especialistas treinaram um modelo de ML para detectar tentativas de sequestro de DLL e o integraram ao sistema Kaspersky SIEM.<\/p>\n","protected":false},"author":2706,"featured_media":24381,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3309,1295,3388,2744,1838],"class_list":{"0":"post-24380","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ai-technology-research","11":"tag-amr","12":"tag-dll","13":"tag-ml","14":"tag-siem"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/dll-hijacking-in-kaspersky-siem\/24380\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dll-hijacking-in-kaspersky-siem\/29705\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/24776\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/12866\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dll-hijacking-in-kaspersky-siem\/29593\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/28642\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dll-hijacking-in-kaspersky-siem\/31527\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dll-hijacking-in-kaspersky-siem\/30185\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dll-hijacking-in-kaspersky-siem\/40637\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/dll-hijacking-in-kaspersky-siem\/13884\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/54534\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/dll-hijacking-in-kaspersky-siem\/23281\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dll-hijacking-in-kaspersky-siem\/32802\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dll-hijacking-in-kaspersky-siem\/29807\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dll-hijacking-in-kaspersky-siem\/35536\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dll-hijacking-in-kaspersky-siem\/35160\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/siem\/","name":"SIEM"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24380"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24380\/revisions"}],"predecessor-version":[{"id":24383,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24380\/revisions\/24383"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24381"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}