DLL-i kaaperdamise haavatavusrünnakud, ennetamine ja tuvastamine

DLL tähistab dünaamiliste linkide teeke ja on Windowsis või mõnes muus opsüsteemis töötavate rakenduste välised osad. Enamik rakendusi pole iseenesest täielikud ja salvestavad koodi erinevates failides. Kui on vaja koodi järele, laaditakse seotud fail mällu ja kasutatakse. See vähendab rakenduse faili suurust, optimeerides samal ajal RAM-i kasutamist. See artikkel selgitab, mis on DLL-i kaaperdamine ja kuidas seda avastada ja ära hoida.

Mis on DLL-failid või dünaamiliste linkide teegid

DLL-failid on dünaamiliste linkide teegid ja nagu nimest selgub, on need erinevate rakenduste laiendused. Kõik meie kasutatavad rakendused võivad teatud koode kasutada või mitte. Sellised koodid salvestatakse erinevatesse failidesse ja neid kutsutakse või laaditakse RAM-i ainult siis, kui on vaja seotud koodi. Seega säästab see rakenduse faili liiga suureks muutumise ja takistab rakenduse poolt ressursside häkkimist.

DLL-failide tee määrab Windowsi operatsioonisüsteem. Tee määratakse globaalsete keskkonnamuutujate abil. Kui rakendus taotleb DLL-faili, otsib operatsioonisüsteem vaikimisi samasse kausta, kuhu rakendus on salvestatud. Kui seda seal ei leidu, läheb see teistesse kaustadesse, mille on määranud globaalsed muutujad. Rajad on seotud prioriteetidega ja see aitab Windowsil otsustada, milliseid kaustu DLL-id otsivad. Siit tuleb DLL-kaaperdamine.

Mis on DLL-kaaperdamine

Kuna DLL-id on laiendused ja vajalikud peaaegu kõigi teie arvutis olevate rakenduste kasutamiseks, on need arvutis erinevates kaustades, nagu selgitatud. Kui algne DLL-fail asendatakse võltsitud DLL-failiga, mis sisaldab pahatahtlikku koodi, on see tuntud kui DLL-i kaaperdamine.

Nagu varem mainitud, on prioriteedid selles osas, kus operatsioonisüsteem otsib DLL-faile. Esiteks vaadatakse seda samasse kausta kui rakenduste kaust ja seejärel otsitakse, lähtudes operatsioonisüsteemi keskkonnamuutujate seatud prioriteetidest. Seega kui hea.dll-fail on kaustas SysWOW64 ja keegi asetab halva koha.dll kaustas, millel on suurem prioriteet võrreldes SysWOW64 kaustaga, kasutab operatsioonisüsteem halba.dll-fail, kuna sellel on sama nimi kui rakenduse taotletud DLL-il. Kui see on RAM-is, võib see käivitada failis sisalduva pahatahtliku koodi ja see võib teie arvutit või võrke ohustada.

Kuidas tuvastada DLL-kaaperdamist

Lihtsaim meetod DLL-kaaperdamise tuvastamiseks ja ärahoidmiseks on kasutada kolmanda osapoole tööriistu. Turul on saadaval häid tasuta tööriistu, mis aitavad tuvastada DLL-i häkkimist ja seda ära hoida.

Üks selline programm on DLL Hijack Auditor, kuid see toetab ainult 32-bitiseid rakendusi. Võite selle oma arvutisse installida ja skannida kõik Windowsi rakendused, et näha, millised rakendused on DLL-kaaperdamise suhtes haavatavad. Liides on lihtne ja iseenesestmõistetav. Selle rakenduse ainus puudus on see, et te ei saa 64-bitiseid rakendusi skannida.

Teine programm DLL-kaaperdamise tuvastamiseks, DLL_HIJACK_DETECT, on saadaval GitHubi kaudu. See programm kontrollib rakendusi, kas mõni neist on DLL-kaaperdamise suhtes haavatav. Kui see on nii, teavitab programm kasutajat sellest. Rakendusel on kaks versiooni - x86 ja x64, nii et saate neid mõlemat kasutada nii 32- kui ka 64-bitiste rakenduste skannimiseks.

Tuleb märkida, et ülaltoodud programmid lihtsalt kontrollivad Windowsi platvormi rakendusi haavatavuste suhtes ega takista tegelikult DLL-failide kaaperdamist.

Kuidas DLL-i kaaperdamist ära hoida

Kõigepealt peaksid selle probleemiga tegelema programmeerijad, kuna te ei saa palju teha, välja arvatud oma turvasüsteemide täiustamine. Kui suhtelise tee asemel hakkavad programmeerijad kasutama absoluutset teed, väheneb haavatavus. Absoluutse tee lugemisel ei sõltu Windows ega mõni muu opsüsteem tee muutujatest ja läheb otse mõeldud DLL-i jaoks, välistades seeläbi võimalused laadida sama nime DLL kõrgema prioriteediga teele. Ka see meetod ei ole tõrkekindel, sest kui süsteem on rikutud ja küberkurjategijad teavad DLL-i täpset teed, asendavad nad algse DLL-i võltsitud DLL-iga. See oleks faili ülekirjutamine, nii et algne DLL muudetakse pahatahtlikuks koodiks. Kuid jällegi peab küberkurjategija teadma rakenduses mainitud täpset absoluutset teed, mis nõuab DLL-i. Protsess on küberkurjategijate jaoks karm ja seetõttu võib sellega arvestada.

Tulles tagasi selle juurde, mida saate teha, proovige lihtsalt oma turvasüsteeme laiendada, et oma Windowsi süsteemi paremini kaitsta. Kasutage head tulemüüri. Kui võimalik, kasutage riistvaralist tulemüüri või lülitage ruuteri tulemüür sisse. Kasutage häid sissetungimise tuvastamise süsteeme, et teaksite, kas keegi proovib teie arvutiga mängida.

Kui tegelete arvutite tõrkeotsinguga, võite oma turvalisuse tagamiseks teha ka järgmist:

1. Keela DLL-i laadimine kaugvõrgu jagamistelt
2. Keela DLL-failide laadimine WebDAV-ist
3. Keelake WebClienti teenus täielikult või määrake see käsitsi
4. Blokeerige TCP-pordid 445 ja 139, kuna neid kasutatakse arvutite rikkumiseks kõige rohkem
5. Installige uusimad operatsioonisüsteemi ja turvatarkvara värskendused.

Microsoft on välja andnud tööriista DLL-i kaaperdamise rünnakute blokeerimiseks. See tööriist leevendab DLL-i kaaperdamise rünnakute riski, takistades rakendustel DLL-failidest koodi ebaturvaliselt laadimist.

Kui soovite artiklile midagi lisada, kommenteerige palun allpool.