DLL užgrobimo pažeidžiamumo atakos, prevencija ir aptikimas

DLL reiškia „Dynamic Link Libraries“ ir yra išorinės programų, veikiančių „Windows“ ar bet kurioje kitoje operacinėje sistemoje, dalys. Daugelis programų nėra pilnos ir jos saugo kodą skirtinguose failuose. Jei reikia kodo, susijęs failas įkeliamas į atmintį ir naudojamas. Tai sumažina programos failo dydį ir optimizuoja RAM naudojimą. Šiame straipsnyje paaiškinta, kas yra DLL pagrobimas ir kaip ją aptikti ir užkirsti jai kelią.

Kas yra DLL failai arba „Dynamic Link“ bibliotekos

DLL failai yra „Dynamic Link Libraries“ ir, kaip matyti iš pavadinimo, yra skirtingų programų plėtiniai. Bet kurioje mūsų naudojamoje programoje gali būti naudojami tam tikri kodai. Tokie kodai yra saugomi skirtinguose failuose ir yra iškviečiami arba įkeliami į RAM tik tada, kai reikalingas susijęs kodas. Taigi, tai taupo programos failą, kad jis nebūtų per didelis ir kad programa netrukdytų išteklių.

DLL failų kelią nustato „Windows“ operacinė sistema. Kelias nustatomas naudojant pasaulinius aplinkos kintamuosius. Pagal numatytuosius nustatymus, jei programa prašo DLL failo, operacinė sistema ieško to paties aplanko, kuriame saugoma programa. Jei jo ten nėra, jis patenka į kitus aplankus, nustatytus pagal pasaulinius kintamuosius. Keliams priskiriami prioritetai ir tai padeda „Windows“ nustatyti, kuriuose aplankuose ieškoti DLL. Čia atsiranda DLL pagrobimas.

Kas yra DLL pagrobimas

Kadangi DLL yra plėtiniai ir būtini norint naudoti beveik visas jūsų mašinų programas, jie yra kompiuteryje skirtinguose aplankuose, kaip paaiškinta. Jei originalus DLL failas pakeičiamas padirbtu DLL failu, kuriame yra kenkėjiškas kodas, jis žinomas kaip DLL pagrobimas.

Kaip minėta anksčiau, yra prioritetai, kur operacinė sistema ieško DLL failų. Pirma, jis žiūri į tą patį aplanką kaip ir programos aplankas, tada eina ieškoti, remdamasis operacinės sistemos aplinkos kintamųjų nustatytais prioritetais. Taigi jei gerai.dll failas yra „SysWOW64“ aplanke ir kažkas įdėjo blogą vietą.dll aplanke, kurio prioritetas yra didesnis, palyginti su aplanku „SysWOW64“, operacinė sistema naudos blogąjį.dll failą, nes jis turi tą patį pavadinimą kaip DLL, kurio prašo programa. Patekęs į RAM, jis gali vykdyti kenkėjišką kodą, esantį faile, ir gali pakenkti jūsų kompiuteriui ar tinklams.

Kaip nustatyti DLL pagrobimą

Lengviausias būdas nustatyti ir užkirsti kelią DLL pagrobimui yra naudoti trečiųjų šalių įrankius. Rinkoje yra keletas gerų nemokamų įrankių, kurie padeda nustatyti DLL įsilaužimo bandymą ir užkirsti jam kelią.

Viena iš tokių programų yra „DLL Hijack Auditor“, tačiau ji palaiko tik 32 bitų programas. Galite jį įdiegti savo kompiuteryje ir nuskaityti visas „Windows“ programas, kad sužinotumėte, kurios visos programos yra pažeidžiamos DLL užgrobimo. Sąsaja yra paprasta ir savaime suprantama. Vienintelis šios programos trūkumas yra tas, kad negalite nuskaityti 64 bitų programų.

Kita programa, skirta DLL užgrobimui nustatyti, DLL_HIJACK_DETECT yra prieinama per „GitHub“. Ši programa tikrina programas, ar kuri nors iš jų nėra pažeidžiama DLL pagrobimo. Jei taip, programa informuoja vartotoją. Programa turi dvi versijas - x86 ir x64, kad galėtumėte naudoti atitinkamai tiek 32, tiek 64 bitų programas nuskaityti.

Reikėtų pažymėti, kad pirmiau nurodytos programos tiesiog nuskaito „Windows“ platformos programas dėl pažeidžiamumo ir netrukdo pagrobti DLL failus.

Kaip užkirsti kelią DLL užgrobimui

Pirmiausia šią problemą turėtų spręsti programuotojai, nes jūs negalite padaryti daug, išskyrus tai, kad sustiprintumėte savo saugumo sistemas. Jei programuotojai vietoj santykinio kelio pradės naudoti absoliutų kelią, pažeidžiamumas bus sumažintas. Skaitydami absoliutų kelią, „Windows“ ar bet kuri kita operacinė sistema nepriklausys nuo sistemos kintamųjų kelio ir eis tiesiai į numatytą DLL, tokiu būdu atmetant galimybes įkelti tą patį pavadinimą DLL į aukštesnio prioriteto kelią. Šis metodas taip pat nėra atsparus gedimams, nes jei sistema pažeista ir kibernetiniai nusikaltėliai žino tikslų DLL kelią, jie pakeis originalų DLL su padirbtu DLL. Tai būtų failo perrašymas, kad pradinis DLL būtų pakeistas į kenkėjišką kodą. Bet vėlgi, kibernetinis nusikaltėlis turės žinoti tikslų absoliutų kelią, nurodytą programoje, kuriai reikalingas DLL. Kibernetiniams nusikaltėliams procesas yra sunkus, todėl juo galima pasikliauti.

Grįžtant prie to, ką galite padaryti, tiesiog pabandykite išplėsti savo saugumo sistemas, kad geriau apsaugotumėte „Windows“ sistemą. Naudokite gerą ugniasienę. Jei įmanoma, naudokite aparatinę užkardą arba įjunkite maršrutizatoriaus užkardą. Naudokite geras įsibrovimo aptikimo sistemas, kad žinotumėte, ar kas nors bando žaisti su jūsų kompiuteriu.

Jei norite atlikti kompiuterių trikčių šalinimą, taip pat galite atlikti šiuos veiksmus, kad padidintumėte savo saugumą:

1. Išjungti DLL įkėlimą iš nuotolinio tinklo bendrinimų
2. Išjungti DLL failų įkėlimą iš „WebDAV“
3. Visiškai išjunkite „WebClient“ paslaugą arba nustatykite ją rankiniu būdu
4. Blokuokite TCP prievadus 445 ir 139, nes jie dažniausiai naudojami kompromituojant kompiuterius
5. Įdiekite naujausius operacinės sistemos ir saugos programinės įrangos atnaujinimus.

„Microsoft“ išleido įrankį blokuoti DLL apkrovos užgrobimo išpuolius. Šis įrankis sumažina DLL užgrobimo riziką, neleisdamas programoms nesaugiai įkelti kodo iš DLL failų.

Jei norite ką nors pridėti prie straipsnio, komentuokite toliau.