DLL otežava napade, sprječavanje i otkrivanje ranjivosti

DLL označava biblioteke dinamičnih veza i vanjski su dijelovi aplikacija koji se pokreću na sustavu Windows ili bilo kojem drugom operativnom sustavu. Većina aplikacija nije dovršena sama po sebi i pohranjuje kod u različitim datotekama. Ako postoji potreba za kôdom, povezana datoteka se učitava u memoriju i koristi se. To smanjuje veličinu datoteke aplikacije, a optimizira korištenje RAM-a. Ovaj članak objašnjava što je Otkrivanje DLL-a i kako ga otkriti i spriječiti.

Što su DLL datoteke ili biblioteke dinamičnih veza

DLL datoteke su biblioteke dinamičkih veza i kao što vidljivo po imenu, različitih primjena. Svaka aplikacija koju koristimo može ili ne mora upotrebljavati određene kodove. Takvi kodovi pohranjeni su u različitim datotekama i pozivaju se ili učitavaju u RAM samo kada je potreban odgovarajući kôd. Stoga sprema aplikacijsku datoteku da postane prevelika i kako bi spriječila primjenu resursa putem aplikacije.

Put za DLL datoteke postavlja Windows operativni sustav. Put je postavljen pomoću globalnih varijabli zaštite okoliša. Prema zadanim postavkama, ako aplikacija zatraži DLL datoteku, operativni sustav gleda u istu mapu u kojoj je aplikacija pohranjena. Ako se tamo ne pronađe, odlazi u druge mape koje su postavile globalne varijable. Postoje prioriteti pridodani stazama i pomaže sustavu Windows u određivanju mapa koje traže DLL. Ovo je mjesto gdje dolazi do otmice DLL.

Što je uklanjanje DLL-a

Budući da su DLL-ovi proširenja i potrebni za korištenje gotovo svih aplikacija na vašim računalima, oni su prisutni na računalu u različitim mapama kao što je objašnjeno. Ako je izvorna DLL datoteka zamijenjena lažnom DLL datotekom koja sadrži zlonamjerni kôd, poznat je kao DLL Hijacking.

Kao što je već spomenuto, postoje prioriteti oko toga gdje operacijski sustav traži DLL datoteke. Prvo, on gleda u istu mapu kao i aplikacijsku mapu, a potom traži, na temelju prioriteta koje postavljaju varijable okruženja operacijskog sustava. Dakle, ako je datoteka good.dll u mapi SysWOW64 i netko stavlja bad.dll u mapu koja ima veći prioritet u odnosu na mapu SysWOW64, operativni sustav će koristiti datoteku bad.dll jer ima isti naziv kao DLL zatražio zahtjev. Jednom u RAM-u može izvršiti zlonamjerni kôd koji se nalazi u datoteci i može ugroziti vaše računalo ili mreže.

Kako otkriti otmicu DLL

Najlakši način za otkrivanje i sprječavanje otmice DLL je korištenje alata trećih strana. Postoje neki dobri besplatni alati dostupni na tržištu koji pomažu u otkrivanju pokušaja hakiranja DLL-a i sprečavaju ga.

Jedan takav program je DLL Hijack Auditor, ali podržava samo 32-bitne aplikacije. Možete ga instalirati na svoje računalo i skenirati sve svoje Windows aplikacije da biste vidjeli što su sve aplikacije ranjive na DLL hijack. Sučelje je jednostavno i samoobjasno. Jedini nedostatak ove aplikacije je da ne možete skenirati 64-bitne aplikacije.

Drugi program, za otkrivanje DLL otmice, DLL_HIJACK_DETECT, dostupan je putem GitHub. Ovaj program provjerava aplikacije kako bi vidio je li bilo koji od njih ranjiv na otmicu DLL. Ako jest, program obavještava korisnika. Aplikacija ima dvije verzije - x86 i x64, tako da možete koristiti svaki za skeniranje i 32 bita i 64 bita aplikacije.

Valja napomenuti da gore navedeni programi samo skeniraju aplikacije na Windows platformi za ranjivosti i zapravo ne spriječiti otimanje DLL datoteka.

Kako spriječiti DLL Hijacking

Problem bi trebao biti riješen od strane programera na prvom mjestu kao što ne postoji mnogo što možete učiniti, osim za podizanje svoje sigurnosne sustave. Ako, umjesto relativnog puta, programeri počinju koristiti apsolutnu stazu, ranjivost će se smanjiti. Čitanje apsolutne staze, Windows ili bilo koji drugi operativni sustav neće ovisiti o varijablama sustava za put i da će ići ravno za predviđeni DLL, čime se odbacuje šanse za učitavanje istog naziva DLL u višem prioritetu put. Ova je metoda također neispravna jer ako je sustav ugrožen, a cyber-kriminalci znaju točan put DLL-a, zamijenit će originalni DLL s lažnim DLL-om. To bi prebrisalo datoteku tako da se izvorni DLL promijeni u zlonamjerni kod. Ali opet, cybercriminal će morati znati točnu apsolutnu put navedenu u aplikaciji koja poziva na DLL. Proces je teški za cyber kriminale i stoga se može računati.

Vratite se na ono što možete učiniti, samo pokušajte povećati sigurnosne sustave kako biste bolje zaštitili svoj Windows sustav. Koristite dobar vatrozid. Ako je moguće, upotrijebite hardverski vatrozid ili uključite vatrozid usmjerivača. Koristite dobre sustave za otkrivanje upada kako biste znali pita li se netko s računalom.

Ako ste u računalnim rješenjima za rješavanje problema, možete izvršiti i sljedeće kako biste povećali svoju sigurnost:

1. Onemogući učitavanje DLL iz udaljenih mrežnih dionica
2. Onemogući učitavanje DLL datoteka iz WebDAV
3. Onemogući WebClient uslugu u potpunosti ili ga postavite u ručno
4. Blokirajte TCP priključke 445 i 139 jer se najčešće koriste za kompromitiranje računala
5. Instalirajte najnovija ažuriranja operativnog sustava i sigurnosnog softvera.

Microsoft je objavio alat za blokiranje DLL tereta otmice napada. Ovaj alat ublažava rizik napada DLL otmice sprečavanjem aplikacija od nesigurno utovarnih kodova iz DLL datoteka.

Ako želite dodati bilo što na članak, molimo komentirati ispod.