Sikkerhedsproblemet i DLL-kapaciteten Angreb, forebyggelse og detektion

DLL står for dynamiske linkbiblioteker og er eksterne dele af applikationer, der kører på Windows eller andre operativsystemer. De fleste applikationer er ikke komplette i sig selv og gemmer kode i forskellige filer. Hvis der er behov for koden, lægges den relaterede fil i hukommelsen og bruges. Dette reducerer applikationsfilstørrelsen, mens du optimerer brugen af ​​RAM. Denne artikel forklarer, hvad der er DLL-kapring , og hvordan man opdager og forhindrer det.

Hvad er DLL-filer eller dynamiske linkbiblioteker

DLL-filer er dynamiske linkbiblioteker, og som det fremgår af navnet, er udvidelser af forskellige applikationer. Enhver applikation, vi bruger, kan eller ikke bruger visse koder. Sådanne koder gemmes i forskellige filer og påberåbes eller indlæses kun i RAM, når den relaterede kode er påkrævet. Det sparer således en applikationsfil for at blive for stor og for at forhindre ressourcefiskning ved applikationen.

Stien til DLL-filer er indstillet af Windows-operativsystemet. Stien er indstillet ved hjælp af Global Environmental Variables. Hvis en applikation anmoder om en DLL-fil, ser operativsystemet som standard i den samme mappe, hvor applikationen er gemt. Hvis den ikke findes der, går den til andre mapper som angivet af de globale variabler. Der er prioriteter knyttet til stier, og det hjælper Windows med at bestemme, hvilke mapper der skal søges efter DLl`erne. Det er her, hvor DLL-kapringen kommer ind.

Hvad er DLL-kapring

Da DLl`er er udvidelser og er nødvendige for at bruge næsten alle programmer på dine maskiner, er de til stede på computeren i forskellige mapper som forklaret. Hvis den originale DLL-fil erstattes med en falsk DLL-fil, der indeholder skadelig kode, kaldes den DLL-kapring.

Som tidligere nævnt er der prioriteter for, hvor operativsystemet søger DLL-filer. For det første ser det ud i samme mappe som applikationsmappen og går derefter efter, baseret på de prioriteter, der er fastsat af miljøvariablerne i operativsystemet. Således hvis en good.dll-fil er i SysWOW64-mappen, og nogen placerer en bad.dll i en mappe, der har højere prioritet i forhold til SysWOW64-mappen, vil operativsystemet bruge filen bad.dll, da den har samme navn som DLl`en anmodet om af ansøgningen. En gang i RAM kan den udføre den ondsindede kode, der er indeholdt i filen, og det kan true din computer eller netværk.

Sådan registreres DLL-kapring

Den nemmeste metode til at registrere og forhindre DLL-kapring er at bruge tredjepartsværktøjer. Der er nogle gode gratis værktøjer til rådighed på markedet, der hjælper med at opdage et DLL-hackforsøg og forhindre det.

Et sådant program er DLL Hijack Auditor, men det understøtter kun 32-bit applikationer. Du kan installere det på din computer og scanne alle dine Windows-programmer for at se, hvad alle applikationer er sårbare over for DLL-kapring. Interfacet er enkelt og selvforklarende. Den eneste ulempe ved denne applikation er, at du ikke kan scanne 64-bit applikationer.

Et andet program til at registrere DLL-kapring, DLL_HIJACK_DETECT, er tilgængelig via GitHub. Dette program kontrollerer programmer for at se om nogen af ​​dem er sårbare over for DLL-kapring. Hvis det er, informerer programmet brugeren. Applikationen har to versioner - x86 og x64, så du kan bruge hver til at scanne både 32 bit og 64 bit applikationer.

Det skal bemærkes, at ovenstående programmer kun scanner applikationerne på Windows platform for sårbarheder og ikke rent faktisk forhindre kapring af DLL-filer.

Sådan forhindrer du DLL-kapring

Problemet bør håndteres af programmørerne i første omgang, da der ikke er meget du kan gøre, undtagen at øge dine sikkerhedssystemer. Hvis i stedet for en relativ sti, begynder programmører at bruge absolutte stier, vil sårbarheden blive reduceret. Når du læser den absolutte sti, vil Windows eller et andet operativsystem ikke afhænge af systemvariabler for sti og vil gå direkte til den påtænkte DLL og derved afvise chancerne for at indlæse samme navn DLL i en højere prioritetssti. Denne metode er ikke fejlfrit, fordi hvis systemet er kompromitteret, og cyberkriminelle kender den nøjagtige vej til DLL, erstatter de den oprindelige DLL med den falske DLL. Det ville overskrive filen, så den originale DLL blev ændret til ondsindet kode. Men igen vil cybercriminal nødt til at kende den nøjagtige absolutte sti, der er nævnt i applikationen, der kræver DLL. Processen er hård for cyberkriminelle og kan derfor regnes med.

Kom tilbage til hvad du kan gøre, prøv bare at opskalere dine sikkerhedssystemer for bedre at sikre dit Windows-system. Brug en god firewall. Hvis det er muligt, brug en hardware firewall eller tænd routerns firewall. Brug gode indbrudsdetekteringssystemer, så du ved, om nogen forsøger at spille med din computer.

Hvis du er i fejlfindingscomputere, kan du også gøre følgende for at gøre din sikkerhed:

1. Deaktiver DLL-indlæsning fra eksterne netværksaktier
2. Deaktiver indlæsning af DLL-filer fra WebDAV
3. Deaktiver fuldstændigt WebClient-tjenesten eller indstil den til manuel
4. Bloker TCP-portene 445 og 139, da de bruges mest til at kompromittere computere
5. Installer de seneste opdateringer til driften system og sikkerhedssoftware.

Microsoft har udgivet et værktøj til at blokere DLL-belastningskapsler. Dette værktøj mindsker risikoen for DLL-kapacitetsangreb ved at forhindre applikationer fra usikker læsningskode fra DLL-filer.

Hvis du vil tilføje noget til artiklen, bedes du kommentere nedenfor.