DLL: n haavoittuvuuksien haavoittuvuudet, ennaltaehkäisy ja havaitseminen

DLL tarkoittaa Dynamic Link -kirjastoja ja ovat ulkoisia sovelluksia, jotka toimivat Windowsissa tai muissa käyttöjärjestelmissä. Useimmat sovellukset eivät ole itsenäisiä ja tallentaa koodia eri tiedostoille. Jos koodia tarvitaan, kyseinen tiedosto ladataan muistiin ja sitä käytetään. Tämä vähentää sovellustiedoston kokoa ja optimoi RAM-muistin käytön. Tämä artikkeli kertoo, mikä on DLL-kaappaus ja miten se havaitaan ja estetään.

Mitä ovat DLL-tiedostot tai dynaamiset linkkikirjastot

DLL-tiedostot ovat dynaamisia linkkikirjastoja ja nimeä ilmentävät ovat laajennuksia erilaisista sovelluksista. Käyttämämme sovellus voi tai ei saa käyttää tiettyjä koodeja. Tällaiset koodit tallennetaan eri tiedostoihin ja niitä kutsutaan tai ladataan RAM-muistiin vain, kun vastaava koodi on pakollinen. Siten se tallentaa sovellustiedostoa liian suureksi ja estää sovelluksen resurssien leviämisen.

DLL-tiedostojen polku määräytyy Windows-käyttöjärjestelmän mukaan. Polku asetetaan Global Environmental Variables -ominaisuuksilla. Oletusarvoisesti, jos sovellus pyytää DLL-tiedostoa, käyttöjärjestelmä näyttää samalta kansioon, jossa sovellus on tallennettu. Jos sitä ei löydy, se siirtyy muille kansioille, jotka ovat maailmanlaajuisten muuttujien määrittämiä. Polkuihin liittyy prioriteetteja, ja se auttaa Windowsia määrittelemään, mitä kansiot etsivät DLL-tiedostoja. Tässä DLL-kaappaus tulee.

Mikä on DLL-kaappaus

Koska DLL-laajennukset ovat välttämättömiä käytettäessä lähes kaikkia koneellasi olevia sovelluksia, ne ovat tietokoneessa eri kansioissa, kuten selitettiin. Jos alkuperäinen DLL-tiedosto korvataan väärennetyllä DLL-tiedostolla, joka sisältää haitallisen koodin, se tunnetaan DLL-kaappauksen.

Kuten aiemmin mainittiin, on prioriteetteja siitä, missä käyttöjärjestelmä etsii DLL-tiedostoja. Ensin se tarkastelee samaa kansiota kuin sovelluskansio ja sitten etsii sitä, joka perustuu käyttöjärjestelmän ympäristömuuttujien asettamiin prioriteetteihin. Joten jos good.dll-tiedosto on SysWOW64-kansiossa ja joku asettaa bad.dllin kansioon, jolla on korkeampi prioriteetti verrattuna SysWOW64-kansioon, käyttöjärjestelmä käyttää bad.dll-tiedostoa, koska sillä on sama nimi kuin DLL hakemuksen.

DLL-kaappauksen havaitseminen

DLL-kaappauksen havaitseminen ja ehkäiseminen on helpoin tapa käyttää kolmansien osapuolten työkaluja. Markkinoilla on joitain hyviä vapaita työkaluja, jotka auttavat havaitsemaan DLL-hakkerointiyrityksen ja estävät sen.

Yksi tällainen ohjelma on DLL Hijack Auditor, mutta se tukee vain 32-bittisiä sovelluksia. Voit asentaa sen tietokoneellesi ja skannata kaikki Windows-sovellukset nähdäksesi mitä kaikki sovellukset ovat alttiita DLL-kaappaukselle. Käyttöliittymä on yksinkertainen ja itsestään selvää. Ainoa tämän sovelluksen haittapuoli on, että et voi skannata 64-bittisiä sovelluksia.

Toinen ohjelma DLL-kaappauksen havaitsemiseksi, DLL_HIJACK_DETECT, on saatavana GitHubin kautta. Tämä ohjelma tarkistaa sovellukset, onko jokin heistä alttiista DLL-kaappaukselle. Jos se on, ohjelma ilmoittaa käyttäjälle. Sovelluksella on kaksi versiota - x86 ja x64, jotta voit käyttää kumpaakin skannata sekä 32- että 64-bittisiä sovelluksia.

On huomattava, että edellä mainitut ohjelmat vain skannaavat sovelluksia Windows-alustalla haavoittuvuuksille eivätkä todellisuudessa estää DLL-tiedostojen kaappaamisen.

DLL-kaappauksen estäminen

Ohjelmointilaiset pitävät ongelman ensisijaisesti, koska ei ole paljon voit tehdä paitsi turvajärjestelmien vahvistamiseen. Jos suhteellisen polun sijasta ohjelmoijat alkavat käyttää absoluuttista polkua, haavoittuvuutta vähennetään. Absoluuttisen polun, Windowsin tai muun käyttöjärjestelmän lukeminen ei riipu polun järjestelmämuuttujista, ja se menee suoraan suunnitellulle DLL: lle, jolloin hylkäävät mahdollisuudet ladata saman nimisen DLL: n korkeammalle prioriteettitielle. Tämä menetelmä ei myöskään ole epäonnistunut, koska jos järjestelmä vaarantuu ja tietoverkkorikolliset tietävät DLL: n tarkan polun, ne korvaavat alkuperäisen DLL: n fake DLL: llä. Tämä korvaisi tiedoston niin, että alkuperäinen DLL muutettaisiin haitalliseksi koodiksi. Mutta jälleen kerran, cybercriminal on tiedettävä tarkka absoluuttinen polku mainittu sovellus, joka vaatii DLL. Prosessi on kova tietoverkkorikollisille ja siksi se voidaan laskea.

Palataksesi siihen, mitä voit tehdä, yritä vain kasvattaa tietoturvaratkaisuja parantamaan Windows-järjestelmääsi. Käytä hyvää palomuuria. Jos mahdollista, käytä laitteiston palomuuria tai käynnistä reitittimen palomuuri. Käytä hyviä tunkeilun tunnistusjärjestelmiä niin, että tiedät, jos joku yrittää pelata tietokoneesi kanssa.

Jos olet vianmääritysohjelmissa, voit myös tehdä seuraavia asioita tietoturvaasi varten:

1. Poista DLL-lataus etäverkko-osuuksista
2. Poista DLL-tiedostojen lataaminen WebDAV: ltä
3. Poista WebClient-palvelu kokonaan tai aseta se manuaalisesti
4. Estä TCP-portit 445 ja 139, kun niitä käytetään eniten tietokoneiden vaarantumiseen
5. Asenna uusimmat päivitykset käyttöjärjestelmän järjestelmä- ja tietoturvaohjelmistoja.

Microsoft on julkaissut työkalun estää DLL-kuorma-kaappaus hyökkäykset. Tämä työkalu lieventää DLL-kaappauksen hyökkäysten riskiä estämällä sovelluksia tietämättömästä lataamisesta DLL-tiedostoista.

Jos haluat lisätä artikkelin, ole hyvä ja kommenta alla.