Malware

DLL-kapring af sårbarhedsangreb, forebyggelse og påvisning

DLL-kapring af sårbarhedsangreb, forebyggelse og påvisning

DLL står for Dynamic Link Libraries og er eksterne dele af applikationer, der kører på Windows eller ethvert andet operativsystem. De fleste applikationer er ikke komplette i sig selv og gemmer kode i forskellige filer. Hvis der er behov for koden, indlæses den relaterede fil i hukommelsen og bruges. Dette reducerer applikationsfilstørrelsen, mens du optimerer brugen af ​​RAM. Denne artikel forklarer, hvad der er DLL kapring og hvordan man opdager og forhindrer det.

Hvad er DLL-filer eller dynamiske linkbiblioteker

DLL-filer er Dynamic Link Libraries, og som det fremgår af navnet, er de udvidelser af forskellige applikationer. Enhver applikation, vi bruger, bruger måske ikke visse koder. Sådanne koder lagres i forskellige filer og påkaldes eller indlæses kun i RAM, når den relaterede kode er påkrævet. Således sparer det en applikationsfil fra at blive for stor og for at forhindre ressourcestyring af applikationen.

Stien til DLL-filer indstilles af Windows-operativsystemet. Stien indstilles ved hjælp af globale miljøvariabler. Hvis et program anmoder om en DLL-fil, ser operativsystemet som standard ind i den samme mappe, som applikationen er gemt i. Hvis den ikke findes der, går den til andre mapper som angivet af de globale variabler. Der er prioriteter knyttet til stier, og det hjælper Windows med at bestemme, hvilke mapper der skal søges efter DLL'er. Dette er hvor DLL-kapring kommer ind.

Hvad er DLL-kapring

Da DLL'er er udvidelser og nødvendige for at bruge næsten alle applikationer på dine maskiner, findes de på computeren i forskellige mapper som forklaret. Hvis den originale DLL-fil erstattes med en falsk DLL-fil, der indeholder skadelig kode, er den kendt som DLL kapring.

Som nævnt tidligere er der prioriteter for, hvor operativsystemet ser efter DLL-filer. For det første ser det ind i den samme mappe som applikationsmappen og derefter søger, baseret på de prioriteter, der er indstillet af operativsystemets miljøvariabler. Således hvis en god.dll-filen er i SysWOW64-mappen, og nogen placerer en dårlig.dll i en mappe, der har højere prioritet sammenlignet med SysWOW64-mappen, bruger operativsystemet det dårlige.dll-fil, da den har samme navn som den DLL, som applikationen anmoder om. Når det er i RAM, kan det udføre den ondsindede kode, der findes i filen, og kan kompromittere din computer eller dine netværk.

Sådan registreres DLL-kapring

Den nemmeste metode til at opdage og forhindre DLL-kapring er at bruge tredjepartsværktøjer. Der er nogle gode gratis værktøjer til rådighed på markedet, der hjælper med at opdage et DLL-hackforsøg og forhindre det.

Et sådant program er DLL Hijack Auditor, men det understøtter kun 32-bit applikationer. Du kan installere det på din computer og scanne alle dine Windows-applikationer for at se, hvad alle applikationer er sårbare over for DLL-kapring. Interfacet er enkelt og selvforklarende. Den eneste ulempe ved denne applikation er, at du ikke kan scanne 64-bit applikationer.

Et andet program til at opdage DLL-kapring, DLL_HIJACK_DETECT, er tilgængeligt via GitHub. Dette program kontrollerer applikationer for at se, om nogen af ​​dem er sårbare over for DLL-kapring. Hvis det er tilfældet, informerer programmet brugeren. Applikationen har to versioner - x86 og x64, så du kan bruge hver til at scanne henholdsvis 32-bit og 64-bit applikationer.

Det skal bemærkes, at de ovennævnte programmer bare scanner applikationerne på Windows-platformen for sårbarheder og faktisk ikke forhindrer kapring af DLL-filer.

Sådan forhindres DLL-kapring

Problemet skal tackles af programmørerne i første omgang, da der ikke er meget, du kan gøre undtagen at forbedre dine sikkerhedssystemer. Hvis programmører begynder at bruge en absolut sti i stedet for en relativ sti, reduceres sårbarheden. Læsning af den absolutte sti, Windows eller ethvert andet operativsystem, afhænger ikke af systemvariabler for stien og vil gå direkte til den tilsigtede DLL, hvorved chancerne for at indlæse det samme navn DLL lægges i en højere prioritetssti. Denne metode er heller ikke fejlsikker, fordi hvis systemet er kompromitteret, og cyberkriminelle kender den nøjagtige sti til DLL, vil de erstatte den originale DLL med den falske DLL. Det overskriver filen, så den originale DLL ændres til ondsindet kode. Men igen skal cyberkriminelle kende den nøjagtige absolutte sti, der er nævnt i applikationen, der kræver DLL. Processen er hård for cyberkriminelle og kan derfor regnes med.

Når du kommer tilbage til hvad du kan gøre, skal du bare prøve at opskalere dine sikkerhedssystemer for bedre at sikre dit Windows-system. Brug en god firewall. Brug om muligt en hardware-firewall eller tænd router-firewallen. Brug gode indbrudsdetekteringssystemer, så du ved, om nogen prøver at lege med din computer.

Hvis du er i fejlfinding af computere, kan du også udføre følgende for at øge din sikkerhed:

  1. Deaktiver DLL-indlæsning fra eksterne netværksandele
  2. Deaktiver indlæsning af DLL-filer fra WebDAV
  3. Deaktiver WebClient-tjenesten fuldstændigt, eller indstil den til manuel
  4. Bloker TCP-porte 445 og 139, da de bruges mest til at kompromittere computere
  5. Installer de nyeste opdateringer til operativsystemet og sikkerhedssoftwaren.

Microsoft har frigivet et værktøj til at blokere DLL-kapringangreb. Dette værktøj mindsker risikoen for DLL-kapringangreb ved at forhindre applikationer i usikker indlæsning af kode fra DLL-filer.

Hvis du vil tilføje noget til artiklen, bedes du kommentere nedenfor.

Spil Gratis og open source-spilmotorer til udvikling af Linux-spil
Gratis og open source-spilmotorer til udvikling af Linux-spil
Denne artikel dækker en liste over gratis og open source-spilmotorer, der kan bruges til at udvikle 2D- og 3D-spil på Linux. Der er mange sådanne spil...
Spil Shadow of the Tomb Raider til Linux-vejledning
Shadow of the Tomb Raider til Linux-vejledning
Shadow of the Tomb Raider er den tolvte tilføjelse til Tomb Raider-serien - en action-adventure-spilfranchise oprettet af Eidos Montreal. Spillet blev...
Spil Sådan styrkes FPS i Linux?
Sådan styrkes FPS i Linux?
FPS står for Billeder i sekundet. FPS's opgave er at måle billedhastigheden i videoafspilninger eller spiloptræden. I enkle ord betegnes antallet af u...