DLL nolaupīšanas ievainojamības uzbrukumi, novēršana un noteikšana

DLL nozīmē Dynamic Link Libraries un ir lietojumprogrammu ārējās daļas, kas darbojas operētājsistēmā Windows vai jebkurā citā operētājsistēmā. Lielākā daļa lietojumprogrammu pašas par sevi nav pilnīgas, un tās tiek glabātas dažādos failos. Ja ir nepieciešams kods, saistītais fails tiek ielādēts atmiņā un tiek izmantots. Tas samazina lietojumprogrammas faila lielumu, vienlaikus optimizējot RAM izmantošanu. Šajā rakstā ir paskaidrots, kas ir DLL nolaupīšana un kā to atklāt un novērst.

Kas ir DLL faili vai dinamisko saišu bibliotēkas

DLL faili ir dinamisko saišu bibliotēkas, un, kā redzams pēc nosaukuma, tie ir dažādu lietojumprogrammu paplašinājumi. Jebkurā lietojumprogrammā, kuru izmantojam, noteikti kodi var tikt izmantoti vai netiek izmantoti. Šādi kodi tiek glabāti dažādos failos un tiek izsaukti vai ielādēti RAM tikai tad, kad ir nepieciešams attiecīgais kods. Tādējādi tas ietaupa lietojumprogrammas failu, lai tas kļūtu pārāk liels, un lai lietojumprogramma nepieļautu resursu piesaisti.

Ceļu DLL failiem nosaka Windows operētājsistēma. Ceļš tiek iestatīts, izmantojot globālos vides mainīgos. Pēc noklusējuma, ja lietojumprogramma pieprasa DLL failu, operētājsistēma meklē to pašu mapi, kurā tiek saglabāta lietojumprogramma. Ja tas tur nav atrodams, tas pāriet uz citām mapēm, kā to nosaka globālie mainīgie. Ceļiem ir noteiktas prioritātes, un tas palīdz Windows noteikt, kuras mapes meklēt DLL. Šeit notiek DLL nolaupīšana.

Kas ir DLL nolaupīšana

Tā kā DLL ir paplašinājumi un nepieciešami gandrīz visu jūsu mašīnu lietojumprogrammu izmantošanai, datorā tie atrodas dažādās mapēs, kā paskaidrots. Ja sākotnējais DLL fails tiek aizstāts ar viltotu DLL failu, kas satur ļaunprātīgu kodu, tas ir pazīstams kā DLL nolaupīšana.

Kā minēts iepriekš, ir prioritātes attiecībā uz to, kur operētājsistēma meklē DLL failus. Pirmkārt, tas tiek meklēts tajā pašā mapē, kurā atrodas lietojumprogrammu mape, un pēc tam notiek meklēšana, pamatojoties uz operētājsistēmas vides mainīgo noteiktajām prioritātēm. Tādējādi, ja labs.dll fails atrodas mapē SysWOW64, un kāds ievieto sliktu vietu.dll mapē, kurai ir augstāka prioritāte salīdzinājumā ar mapi SysWOW64, operētājsistēma izmantos slikto.dll failu, jo tam ir tāds pats nosaukums kā lietojumprogrammas pieprasītajam DLL. Kad tas ir RAM, tas var izpildīt failā esošo ļaunprātīgo kodu un var apdraudēt jūsu datoru vai tīklus.

Kā noteikt DLL nolaupīšanu

Vieglākā metode DLL nolaupīšanas noteikšanai un novēršanai ir trešo personu rīku izmantošana. Tirgū ir pieejami daži labi bezmaksas rīki, kas palīdz atklāt DLL uzlaušanas mēģinājumu un to novērst.

Viena no šādām programmām ir DLL Hijack Auditor, taču tā atbalsta tikai 32 bitu lietojumprogrammas. Jūs varat to instalēt savā datorā un skenēt visas Windows lietojumprogrammas, lai redzētu, kuras visas lietojumprogrammas ir neaizsargātas pret DLL nolaupīšanu. Interfeiss ir vienkāršs un pats par sevi saprotams. Vienīgais šīs lietojumprogrammas trūkums ir tas, ka nevar skenēt 64 bitu lietojumprogrammas.

Cita programma DLL nolaupīšanas noteikšanai - DLL_HIJACK_DETECT ir pieejama, izmantojot GitHub. Šī programma pārbauda lietojumprogrammas, lai redzētu, vai kāds no tiem ir neaizsargāts pret DLL nolaupīšanu. Ja tā ir, programma informē lietotāju. Lietojumprogrammai ir divas versijas - x86 un x64, lai katru varētu izmantot, lai skenētu attiecīgi 32 un 64 bitu lietojumprogrammas.

Jāatzīmē, ka iepriekš minētās programmas vienkārši skenē Windows platformas lietojumprogrammas pēc ievainojamības un faktiski neaizkavē DLL failu nolaupīšanu.

Kā novērst DLL nolaupīšanu

Šis jautājums vispirms jārisina programmētājiem, jo ​​jūs nevarat darīt daudz, izņemot drošības sistēmu uzlabošanu. Ja relatīvā ceļa vietā programmētāji sāk izmantot absolūto ceļu, ievainojamība tiks samazināta. Lasot absolūto ceļu, Windows vai jebkura cita operētājsistēma nebūs atkarīga no ceļa mainīgajiem ceļiem un virzīsies tieši uz paredzēto DLL, tādējādi novēršot iespēju ielādēt to pašu nosaukumu DLL augstākas prioritātes ceļā. Arī šī metode nav droša pret kļūmēm, jo, ja sistēma tiek apdraudēta un kibernoziedznieki zina precīzu DLL ceļu, viņi aizstās sākotnējo DLL ar viltus DLL. Tas būtu faila pārrakstīšana, lai sākotnējais DLL tiktu mainīts uz ļaunprātīgu kodu. Bet atkal kibernoziedzniekam būs jāzina precīzs absolūtais ceļš, kas minēts lietojumprogrammā, kas prasa DLL. Kibernoziedzniekiem process ir grūts, un tāpēc uz to var rēķināties.

Atgriežoties pie tā, ko jūs varat darīt, vienkārši mēģiniet palielināt drošības sistēmas, lai labāk aizsargātu Windows sistēmu. Izmantojiet labu ugunsmūri. Ja iespējams, izmantojiet aparatūras ugunsmūri vai ieslēdziet maršrutētāja ugunsmūri. Izmantojiet labas ielaušanās noteikšanas sistēmas, lai zinātu, vai kāds mēģina spēlēt ar jūsu datoru.

Ja jums ir problēmu novēršana datoros, drošības uzlabošanai varat veikt arī šādas darbības:

1. Atspējot DLL ielādi no attālā tīkla akcijām
2. Atspējot DLL failu ielādi no WebDAV
3. Pilnībā atspējojiet WebClient pakalpojumu vai iestatiet to uz manuālu
4. Bloķējiet TCP pieslēgvietas 445 un 139, jo tās visvairāk tiek izmantotas datoru apdraudēšanai
5. Instalējiet jaunākos operētājsistēmas un drošības programmatūras atjauninājumus.

Microsoft ir izlaidis rīku DLL slodzes nolaupīšanas uzbrukumu bloķēšanai. Šis rīks samazina DLL nolaupīšanas risku, novēršot lietojumprogrammu nedrošu ielādi kodu no DLL failiem.

Ja vēlaties kaut ko pievienot rakstam, lūdzu, komentējiet tālāk.