DLL Perampasan Kerahsiaan Serangan, Pencegahan & Pengesanan

DLL bermaksud Perpustakaan Link Dinamik dan merupakan bahagian luar aplikasi yang berjalan pada Windows atau sistem operasi lain. Kebanyakan aplikasi tidak lengkap dalam diri mereka dan menyimpan kod dalam fail yang berbeza. Sekiranya terdapat kod, fail yang berkaitan dimasukkan ke dalam memori dan digunakan. Ini mengurangkan saiz fail aplikasi semasa mengoptimumkan penggunaan RAM. Artikel ini menjelaskan apa yang DLL Hijacking dan bagaimana untuk mengesan dan mencegahnya.

Apakah fail DLL atau Perpustakaan Link Dinamik

Fail DLL adalah Perpustakaan Pautan Dinamik dan seperti yang jelas dengan nama, daripada aplikasi yang berbeza. Sebarang permohonan yang kami gunakan mungkin atau mungkin tidak menggunakan kod tertentu. Kod sedemikian disimpan dalam fail yang berbeza dan dipanggil atau dimuatkan ke RAM hanya apabila kod berkaitan diperlukan. Oleh itu, ia menyimpan fail permohonan daripada menjadi terlalu besar dan untuk mencegah pemonitoran sumber oleh aplikasi.

Laluan untuk fail DLL ditetapkan oleh sistem pengendalian Windows. Laluan ditetapkan menggunakan Pembolehubah Alam Sekitar Global. Secara lalai, jika aplikasi meminta fail DLL, sistem operasi melihat folder yang sama di mana aplikasi disimpan. Sekiranya tidak terdapat di sana, ia pergi ke folder lain seperti yang ditetapkan oleh pembolehubah global. Terdapat keutamaan yang dilampirkan pada laluan dan ia membantu Windows dalam menentukan apa folder untuk mencari DLL. Ini adalah tempat rampasan DLL masuk.

Apa DLL Hijacking

Sejak DLL adalah pelanjutan dan perlu menggunakan hampir semua aplikasi pada mesin anda, mereka hadir pada komputer dalam folder yang berbeza seperti yang dijelaskan. Jika fail DLL asal digantikan dengan fail DLL yang palsu yang mengandungi kod berniat jahat, ia dikenali sebagai DLL Hijacking.

Seperti yang dinyatakan sebelum ini, terdapat keutamaan ke mana sistem operasi mencari fail DLL. Pertama, ia melihat folder yang sama dengan folder aplikasi dan kemudian mencari, berdasarkan keutamaan yang ditetapkan oleh pembolehubah persekitaran sistem operasi. Oleh itu jika fail good.dll berada dalam folder SysWOW64 dan seseorang meletakkan bad.dll dalam folder yang mempunyai keutamaan yang lebih tinggi berbanding folder SysWOW64, sistem operasi akan menggunakan fail bad.dll, kerana ia mempunyai nama yang sama dengan DLL diminta oleh aplikasi. Sekali dalam RAM, ia boleh melaksanakan kod berniat jahat yang terkandung dalam fail dan boleh menjejaskan komputer atau rangkaian anda.

Bagaimana untuk mengesan DLL Hijacking

Kaedah yang paling mudah untuk mengesan dan mencegah pembongkaran DLL adalah menggunakan alat pihak ketiga. Terdapat beberapa alat percuma yang boleh didapati di pasaran yang membantu dalam mengesan percubaan percubaan DLL dan menghalangnya.

Salah satu program tersebut ialah DLL Hijackack Auditor tetapi ia hanya menyokong aplikasi 32-bit. Anda boleh memasangnya pada komputer anda dan imbas semua aplikasi Windows anda untuk melihat apa semua aplikasi terdedah kepada rampasan DLL. Antara muka adalah mudah dan jelas. Satu-satunya kelemahan aplikasi ini adalah bahawa anda tidak boleh mengimbas aplikasi 64-bit.

Program lain, untuk mengesan rampasan DLL, DLL_HIJACK_DETECT, boleh didapati melalui GitHub. Program ini memeriksa aplikasi untuk melihat jika mana-mana daripada mereka terdedah kepada rampasan DLL. Sekiranya, program ini memberitahu pengguna. Aplikasi ini mempunyai dua versi - x86 dan x64 supaya anda boleh menggunakan masing-masing untuk mengimbas masing-masing aplikasi 32 bit dan 64 bit.

Perlu diingatkan bahawa program di atas hanya mengimbas aplikasi pada platform Windows untuk kelemahan dan tidak benar-benar mengelakkan rampasan fail DLL.

Bagaimana untuk mencegah Perampasan DLL

Isu ini harus ditangani oleh pengaturcara di tempat pertama kerana tidak banyak yang boleh anda lakukan kecuali untuk memperkuat sistem keselamatan anda. Jika, bukannya laluan relatif, pengaturcara mula menggunakan laluan mutlak, kelemahan akan dikurangkan. Membaca laluan mutlak, Windows atau mana-mana sistem operasi lain tidak akan bergantung kepada pembolehubah sistem untuk laluan dan akan terus lurus untuk DLL yang dimaksud, dengan itu menolak kemungkinan memuat DLL nama yang sama dalam laluan keutamaan yang lebih tinggi. Kaedah ini juga, tidak gagal-bukti kerana jika sistem dikompromi, dan penjenayah siber tahu laluan sebenar DLL, mereka akan menggantikan DLL asal dengan DLL palsu. Itu akan menimpa fail supaya DLL asal diubah menjadi kod berniat jahat. Tetapi sekali lagi, jenayah siber perlu mengetahui jalan mutlak yang dinyatakan di dalam aplikasi yang memerlukan DLL. Proses yang sukar untuk penjenayah siber dan dengan itu boleh dikira.

Kembali kepada apa yang boleh anda lakukan, cuba cuba meningkatkan sistem keselamatan anda untuk memastikan sistem Windows anda lebih baik. Gunakan firewall yang baik. Jika boleh, gunakan firewall perkakasan atau menghidupkan firewall penghala. Gunakan sistem pengesanan pencerobohan yang baik supaya anda tahu jika sesiapa yang cuba bermain dengan komputer anda.

Jika anda sedang menyelesaikan masalah komputer, anda juga boleh melakukan yang berikut untuk meningkatkan keselamatan anda:

1. Lumpuhkan pemuatan DLL dari rangkaian rangkaian terpencil
2. Lumpuhkan pemuatan fail DLL dari WebDAV
3. Lumpuhkan perkhidmatan WebClient sepenuhnya atau tetapkannya kepada manual
4. Blok port TCP 445 dan 139 kerana ia digunakan paling untuk mengompromikan komputer
5. Memasang kemas kini terkini ke operasi sistem dan perisian keselamatan.

Microsoft telah mengeluarkan alat untuk menghalang serangan rampasan beban DLL. Alat ini mengurangkan risiko serangan rampasan DLL dengan menghalangi aplikasi dari memuatkan kod yang tidak selamat dari fail DLL.

Jika anda ingin menambah apa-apa pada artikel itu, sila komen di bawah.