Atacuri de vulnerabilitate DLL, de prevenire și de detectare

DLL înseamnă Dynamic Link Libraries și sunt părți externe ale aplicațiilor care rulează pe Windows sau pe orice alt sistem de operare. Majoritatea aplicațiilor nu sunt complete în sine și stochează codul în fișiere diferite. Dacă este nevoie de cod, fișierul asociat este încărcat în memorie și folosit. Aceasta reduce dimensiunea fișierului aplicației în timp ce optimizează utilizarea RAM. Acest articol explică ceea ce este Hijacking DLL și cum se detectează și îl împiedică.

Ce sunt fișierele DLL sau fișierele DLL

DLL sunt Biblioteci dinamice de legătură și așa cum este evident de numele, sunt extensii de aplicații diferite. Orice aplicație pe care o folosim poate sau nu poate să utilizeze anumite coduri. Aceste coduri sunt stocate în fișiere diferite și sunt invocate sau încărcate în memoria RAM numai atunci când este necesar codul asociat. Astfel, salvează un fișier de aplicație de la a deveni prea mare și pentru a preveni hogging resurse de către aplicație.

Calea pentru fișierele DLL sunt setate de sistemul de operare Windows. Calea este setată utilizând variabile globale de mediu. În mod implicit, dacă o aplicație solicită un fișier DLL, sistemul de operare privește în același director în care este stocată aplicația. Dacă nu se găsește acolo, acesta se adresează altor foldere așa cum sunt stabilite de variabilele globale. Există priorități legate de căi și ajută Windows să determine ce foldere să caute DLL-urile. Acesta este locul unde se află deturnarea DLL.

Ce este DLL Hijacking

Deoarece DLL-urile sunt extensii și sunt necesare pentru a folosi aproape toate aplicațiile de pe calculatoarele dvs., acestea sunt prezente pe computer în foldere diferite așa cum este explicat. Dacă fișierul DLL original este înlocuit cu un fișier DLL fals care conține cod rău intenționat, el este cunoscut sub numele de Hijacking DLL.

Așa cum am menționat mai devreme, există priorități cu privire la locul în care sistemul de operare caută fișiere DLL. În primul rând, se referă la același director ca și folderul aplicației și apoi merge în căutarea, pe baza priorităților stabilite de variabilele de mediu ale sistemului de operare. Astfel, dacă un fișier good.dll se află în dosarul SysWOW64 și cineva plasează un bad.dll într-un folder care are o prioritate mai mare comparativ cu dosarul SysWOW64, sistemul de operare va folosi fișierul bad.dll, deoarece are același nume ca DLL solicitată de cerere. Odată ce se află în memoria RAM, acesta poate executa codul rău intenționat din fișier și poate compromite computerul sau rețelele dvs.

Cum se detectează dezvăluiri DLL

Metoda cea mai ușoară de a detecta și a preveni deturnarea DLL-ului este utilizarea instrumentelor terță parte. Există câteva instrumente gratuite gratuite disponibile pe piață care ajută la detectarea unei încercări de hacking DLL și la prevenirea acesteia.

Un astfel de program este DLL Hijack Auditor, dar acceptă numai aplicații pe 32 de biți. Puteți să-l instalați pe computerul dvs. și să scanați toate aplicațiile Windows pentru a vedea ce aplicații sunt vulnerabile la atacurile DLL. Interfața este simplă și explicită. Singurul dezavantaj al acestei aplicații este că nu puteți scana aplicații pe 64 de biți.

Un alt program, pentru a detecta deturnarea DLL-ului, DLL_HIJACK_DETECT, este disponibil prin GitHub. Acest program verifică aplicațiile pentru a vedea dacă oricare dintre acestea este vulnerabil la deturnarea DLL. Dacă este cazul, programul informează utilizatorul. Aplicația are două versiuni - x86 și x64, astfel încât să puteți utiliza fiecare pentru a scana ambele 32 de biți și respectiv 64 de biți.

Trebuie remarcat faptul că programele de mai sus doar scanează aplicațiile de pe platforma Windows pentru vulnerabilități și nu pentru a preveni deturnarea fișierelor DLL

Cum se împiedică deturnarea DLL

Problema ar trebui să fie abordată de către programatori, în primul rând, deoarece nu există prea multe lucruri pe care le puteți face, cu excepția cazului în care vă îmbunătățiți sistemele de securitate. Dacă, în locul unei căi relative, programatorii încep să utilizeze calea absolută, vulnerabilitatea va fi redusă. Citirea căii absolute, a Windows sau a oricărui alt sistem de operare nu va depinde de variabilele sistemului pentru cale și va merge direct pentru DLL-ul dorit, respingând astfel șansele de a încărca DLL-ul cu același nume într-o cale de prioritate mai mare. De asemenea, această metodă nu este sigură, deoarece dacă sistemul este compromis, iar infractorii cibernetici cunosc calea exactă a DLL, ei vor înlocui DLL-ul original cu DLL-ul fals. Aceasta ar fi suprascrierea fișierului, astfel încât DLL-ul original este transformat în cod rău intenționat. Dar, din nou, cybercriminalul va trebui să cunoască calea exactă absolută menționată în aplicație, care solicită DLL-ul. Procesul este greu pentru infractorii cibernetici și, prin urmare, poate fi luat în considerare.

Revenind la ceea ce puteți face, încercați să vă măriți sistemele de securitate pentru a vă asigura mai bine sistemul dvs. Windows. Utilizați un firewall bun. Dacă este posibil, utilizați un firewall hardware sau activați paravanul de protecție a routerului. Utilizați sisteme de detectare a intruziunilor, astfel încât să știți dacă cineva încearcă să se joace cu calculatorul dvs.

Dacă vă aflați în depanarea calculatoarelor, puteți efectua următoarele operații pentru a vă asigura securitatea:

1. Dezactivați încărcarea DLL-ului din partajări de rețea la distanță
2. Dezactivați încărcarea fișierelor DLL de la WebDAV
3. Dezactivați complet serviciul WebClient sau setați-l la manual
4. Blocați porturile TCP 445 și 139 deoarece acestea sunt utilizate cel mai mult pentru compromiterea computerelor
5. Instalați cele mai recente actualizări sistemul de securitate și software-ul de securitate.

Microsoft a lansat un instrument pentru a bloca atacurile de deturnare a încărcărilor DLL. Acest instrument atenuează riscul de atacuri DLL deturnând prin împiedicarea aplicațiilor de la încărcarea nesigură a codului din fișierele DLL.

Dacă doriți să adăugați ceva la articol, vă rugăm să comentați mai jos.