Hjemmeside » Sikkerhet » Sårbarhetsproblemer for DLL-kapasitet, forebygging og deteksjon

    Sårbarhetsproblemer for DLL-kapasitet, forebygging og deteksjon

    DLL står for dynamiske koblingsbiblioteker og er eksterne deler av applikasjoner som kjører på Windows eller andre operativsystemer. De fleste applikasjoner er ikke ferdige i seg selv og lagre kode i forskjellige filer. Hvis det er behov for koden, lastes den tilhørende filen i minnet og brukes. Dette reduserer applikasjonsfilstørrelsen mens du optimaliserer bruken av RAM. Denne artikkelen forklarer hva som er DLL-kapring og hvordan å oppdage og forhindre det.

    Hva er DLL-filer eller Dynamiske Link-biblioteker

    DLL-filer er dynamiske koblingsbiblioteker, og det fremgår av navnet, er utvidelser av forskjellige applikasjoner. Ethvert program vi bruker kan eller ikke kan bruke bestemte koder. Slike koder lagres i forskjellige filer og påberopes eller lastes bare inn i RAM når den relaterte koden er nødvendig. Dermed sparer den en applikasjonsfil fra å bli for stor og for å forhindre ressursfylling ved søknaden.

    Banen for DLL-filer er satt av Windows-operativsystemet. Banen er satt med Global Environmental Variables. Som standard, hvis et program ber om en DLL-fil, ser operativsystemet ut i samme mappe der applikasjonen er lagret. Hvis den ikke finnes der, går den til andre mapper som angitt av de globale variablene. Det er prioriteringer knyttet til stier, og det hjelper Windows med å bestemme hvilke mapper som skal lete etter DLL-er. Dette er hvor DLL-kapringen kommer inn.

    Hva er DLL-kapring

    Siden DLL er utvidelser og er nødvendig for å bruke nesten alle programmer på maskinene dine, er de til stede på datamaskinen i forskjellige mapper som forklart. Hvis den originale DLL-filen er erstattet med en falsk DLL-fil som inneholder skadelig kode, er den kjent som DLL-kapring.

    Som nevnt tidligere, er det prioriteringer hvor operativsystemet ser etter DLL-filer. Først ser det inn i samme mappe som applikasjonsmappen og går deretter på søk, basert på prioriteringene som er satt av miljøvariabler av operativsystemet. Dermed hvis en good.dll-fil er i SysWOW64-mappen og noen plasserer en dårlig.dll i en mappe som har høyere prioritet i forhold til SysWOW64-mappen, vil operativsystemet bruke filen bad.dll, da den har samme navn som DLL-filen. forespurt av søknaden. En gang i RAM kan den utføre den ondsinnede koden som finnes i filen, og kan kompromittere datamaskinen eller nettverket.

    Slik oppdager du DLL-kapring

    Den enkleste metoden for å oppdage og forhindre DLL-kapring er å bruke tredjepartsverktøy. Det finnes noen gode gratis verktøy tilgjengelig i markedet som hjelper til med å oppdage et DLL-hackforsøk og forhindre det.

    Et slikt program er DLL Hijack Auditor, men det støtter bare 32-biters applikasjoner. Du kan installere den på datamaskinen og skanne alle Windows-programmer for å se hva alle applikasjoner er sårbare for DLL-kapring. Grensesnittet er enkelt og selvforklarende. Den eneste ulempen ved denne applikasjonen er at du ikke kan skanne 64-biters applikasjoner.

    Et annet program, for å oppdage DLL-kapring, DLL_HIJACK_DETECT, er tilgjengelig via GitHub. Dette programmet sjekker programmer for å se om noen av dem er sårbare for DLL-kapring. Hvis det er, informerer programmet brukeren. Søknaden har to versjoner - x86 og x64, slik at du kan bruke hver til å skanne både 32 bit og 64 bit applikasjoner.

    Det skal bemerkes at de ovennevnte programmene bare skanner programmene på Windows-plattformen for sikkerhetsproblemer og egentlig ikke forhindrer hijacking av DLL-filer.

    Slik forhindrer du DLL-kapring

    Problemet bør håndteres av programmene i utgangspunktet, da det ikke er mye du kan gjøre unntatt for å bøte opp sikkerhetssystemene dine. Hvis, i stedet for en relativ sti, programmerer begynner å bruke absolutt sti, vil sårbarheten bli redusert. Når du leser den absolutte banen, vil Windows eller et annet operativsystem ikke avhenge av systemvariabler for sti og vil gå rett til den påtatte DLL, og dermed avvise sjansene for å laste inn samme navn DLL i en høyere prioritetssti. Denne metoden også er ikke feilsikker fordi hvis systemet er kompromittert, og cyberkriminelle kjenner den eksakte banen til DLL, vil de erstatte den opprinnelige DLL med den falske DLL. Det ville overskrive filen slik at den opprinnelige DLL ble endret til ondsinnet kode. Men igjen, den cybercriminal vil trenge å vite den eksakte absolutt banen nevnt i programmet som krever DLL. Prosessen er tøff for cyberkriminelle og kan derfor regnes med.

    Kommer tilbake til hva du kan gjøre, bare prøv å oppgradere sikkerhetssystemene dine for å bedre sikre ditt Windows-system. Bruk en god brannmur. Hvis det er mulig, bruk en maskinvarebrannmur eller slå på ruteren brannmur. Bruk gode inntrengingsdeteksjonssystemer slik at du vet om noen prøver å leke med datamaskinen.

    Hvis du er i feilsøkingsdatamaskiner, kan du også gjøre følgende for å forbedre sikkerheten din:

    1. Deaktiver DLL-lasting fra eksterne nettverksaksjer
    2. Deaktiver lasting av DLL-filer fra WebDAV
    3. Deaktiver WebClient-tjenesten helt eller sett den til manuell
    4. Blokker TCP-portene 445 og 139 da de brukes mest for å ødelegge datamaskiner
    5. Installer de nyeste oppdateringene til operativsystemet og sikkerhetsprogramvaren.

    Microsoft har gitt ut et verktøy for å blokkere DLL-lastkapsler. Dette verktøyet reduserer risikoen for DLL-kapringangrep ved å hindre applikasjoner fra usikker lastingskode fra DLL-filer.

    Hvis du vil legge til noe i artikkelen, vennligst kommenter nedenfor.