Pagina principala » Securitate » DLL atacuri de vulnerabilitate, prevenire și detectare

    DLL atacuri de vulnerabilitate, prevenire și detectare

    DLL reprezintă Dynamic Link Libraries și sunt părți externe ale aplicațiilor care rulează pe Windows sau pe orice alt sistem de operare. Cele mai multe aplicații nu sunt complete în sine și stochează codul în fișiere diferite. Dacă este nevoie de cod, fișierul asociat este încărcat în memorie și folosit. Acest lucru reduce dimensiunea fișierului de aplicație în timp ce optimizează utilizarea RAM-ului. Acest articol explică ce este DLL deturnare și cum să le detectați și să o preveniți.

    Ce sunt fișiere DLL sau biblioteci dinamice de legătură

    Fișierele DLL sunt Biblioteci dinamice de legătură și, după cum se vede și prin nume, sunt extensii ale diferitelor aplicații. Orice aplicație pe care o folosim poate sau nu să utilizeze anumite coduri. Aceste coduri sunt stocate în fișiere diferite și sunt invocate sau încărcate în memoria RAM numai atunci când este necesar codul asociat. Astfel, salvează un fișier de aplicație de la a deveni prea mare și pentru a preveni hogging de resurse de către aplicație.

    Calea pentru fișierele DLL sunt setate de sistemul de operare Windows. Calea este setată utilizând variabilele globale de mediu. În mod implicit, dacă o aplicație solicită un fișier DLL, sistemul de operare privește în același director în care este stocată aplicația. Dacă nu se găsește acolo, acesta se adresează altor foldere, așa cum sunt stabilite de variabilele globale. Există priorități atașate de căi și ajută Windows să determine ce foldere să caute DLL-urile. Aici intră legătura DLL.

    Ce este DLL Hijacking

    Deoarece DLL-urile sunt extensii și sunt necesare pentru a folosi aproape toate aplicațiile de pe mașinile dvs., acestea sunt prezente pe computer în foldere diferite așa cum este explicat. Dacă fișierul original DLL este înlocuit cu un fișier DLL fals care conține cod rău intenționat, acesta este cunoscut sub numele de DLL deturnare.

    Așa cum am menționat mai devreme, există priorități cu privire la locul în care sistemul de operare caută fișiere DLL. În primul rând, acesta se referă la același director ca și folderul aplicației și apoi merge în căutarea, pe baza priorităților stabilite de variabilele de mediu ale sistemului de operare. Astfel, dacă un fișier good.dll este în folderul SysWOW64 și cineva plasează un bad.dll într-un folder care are o prioritate mai mare comparativ cu dosarul SysWOW64, sistemul de operare va folosi fișierul bad.dll, având același nume ca DLL solicitată de cerere. Odată ajuns în RAM, acesta poate executa codul rău intenționat din fișier și poate compromite computerul sau rețelele.

    Cum de a detecta deturnarea DLL

    Cea mai ușoară metodă de a detecta și a preveni deturnarea DLL-urilor este utilizarea instrumentelor terță parte. Există câteva instrumente gratuite gratuite disponibile pe piață care ajută la detectarea unei încercări de hacking DLL și la prevenirea acesteia.

    Un astfel de program este DLL Hijack Auditor, dar acceptă numai aplicații pe 32 de biți. Puteți să-l instalați pe computer și să scanați toate aplicațiile Windows pentru a vedea ce aplicații sunt vulnerabile la hacking-ul DLL. Interfața este simplă și auto-explicativă. Singurul dezavantaj al acestei aplicații este că nu puteți scana aplicații pe 64 de biți.

    Un alt program, pentru a detecta deturnarea DLL, DLL_HIJACK_DETECT, este disponibil prin GitHub. Acest program verifică aplicațiile pentru a vedea dacă oricare dintre acestea este vulnerabil la deturnarea DLL-urilor. Dacă este cazul, programul informează utilizatorul. Aplicația are două versiuni - x86 și x64, astfel încât să puteți utiliza fiecare pentru a scana atât aplicațiile 32 bit, cât și cele 64 de biți.

    Trebuie remarcat faptul că programele de mai sus doar scanează aplicațiile de pe platforma Windows pentru vulnerabilități și nu împiedică de fapt să atace fișierele DLL.

    Cum de a preveni deturnarea DLL

    Problema ar trebui să fie abordată de către programatori, în primul rând, deoarece nu există prea multe lucruri pe care le puteți face, cu excepția cazului în care vă veți îmbunătăți sistemele de securitate. Dacă, în locul unei căi relative, programatorii încep să utilizeze calea absolută, vulnerabilitatea va fi redusă. Citirea căii absolute, a Windows sau a oricărui alt sistem de operare nu va depinde de variabilele de sistem pentru cale și va merge direct pentru DLL-ul dorit, respingând astfel șansele de a încărca DLL-ul cu același nume într-o cale de prioritate mai mare. De asemenea, această metodă nu este sigură, deoarece dacă sistemul este compromis, iar infractorii cibernetici cunosc calea exactă a DLL, ei vor înlocui DLL-ul original cu DLL-ul fals. Aceasta ar fi suprascrierea fișierului astfel încât versiunea originală DLL să fie modificată în cod rău intenționat. Dar, din nou, cybercriminalul va trebui să cunoască calea absolută exactă menționată în aplicație, care solicită DLL-ul. Procesul este dificil pentru infractorii cibernetici și, prin urmare, poate fi luat în considerare.

    Revenind la ceea ce puteți face, încercați doar să vă măriți sistemele de securitate pentru a vă asigura mai bine sistemul dvs. Windows. Utilizați un firewall bun. Dacă este posibil, utilizați un firewall hardware sau activați paravanul de protecție al routerului. Utilizați sisteme de detectare a intruziunilor, astfel încât să știți dacă cineva încearcă să se joace cu computerul.

    Dacă vă aflați în depanarea calculatoarelor, puteți efectua următoarele operații pentru a vă asigura securitatea:

    1. Dezactivați încărcarea DLL din acțiuni de rețea la distanță
    2. Dezactivați încărcarea fișierelor DLL de la WebDAV
    3. Dezactivați complet serviciul WebClient sau îl setați manual
    4. Blocați porturile TCP 445 și 139, deoarece sunt cele mai utilizate pentru a compromite computerele
    5. Instalați cele mai recente actualizări ale sistemului de operare și ale software-ului de securitate.

    Microsoft a lansat un instrument pentru a bloca atacurile de deturnare a încărcărilor DLL. Acest instrument atenuează riscul de atacuri DLL deturnând prin împiedicarea aplicațiilor de la încărcarea nesigură a codului din fișierele DLL.

    Dacă doriți să adăugați ceva la articol, vă rugăm să comentați mai jos.