DLL-eltérítő biztonsági rések, megelőzés és felderítés

A DLL a Dynamic Link Libraries rövidítéseket jelenti, és a Windows vagy bármely más operációs rendszeren futó alkalmazások külső része. A legtöbb alkalmazás önmagában nem teljes, és különböző fájlokban tárolja a kódot. Ha szükség van a kódra, a kapcsolódó fájl betöltődik a memóriába és felhasználásra kerül. Ez csökkenti az alkalmazás fájlméretét, miközben optimalizálja a RAM használatát. Ez a cikk elmagyarázza, mi az DLL eltérítés és hogyan lehet észlelni és megakadályozni.

Mik azok a DLL fájlok vagy a dinamikus link könyvtárak

A DLL fájlok dinamikus linkkönyvtárak, és amint az a névből is kitűnik, a különböző alkalmazások kiterjesztései. Bármely általunk használt alkalmazás használhat bizonyos kódokat, vagy nem. Az ilyen kódokat különböző fájlokban tárolják, és csak akkor hívják meg vagy töltik be a RAM-ba, ha a kapcsolódó kódra szükség van. Így megmenti az alkalmazásfájl túl nagy méretét és megakadályozza az alkalmazás erőforrás-átragadását.

A DLL fájlok elérési útját a Windows operációs rendszer határozza meg. Az útvonal globális környezeti változók segítségével állítható be. Alapértelmezés szerint, ha egy alkalmazás DLL fájlt kér, az operációs rendszer ugyanabba a mappába néz, amelyben az alkalmazás van tárolva. Ha nem található ott, akkor a globális változók által beállított más mappákba kerül. Az elérési utakhoz prioritások vannak hozzárendelve, és ez segít a Windows-nak abban, hogy meghatározza, milyen mappákat keressen a DLL-ek számára. Itt jön be a DLL-eltérítés.

Mi a DLL eltérítés

Mivel a DLL-ek kiterjesztések és szükségesek a gép szinte összes alkalmazásának használatához, a magyarázat szerint különböző mappákban vannak a számítógépen. Ha az eredeti DLL fájlt rosszindulatú kódot tartalmazó hamis DLL-fájlra cserélik, akkor az úgynevezett DLL eltérítés.

Mint korábban említettük, prioritások vannak abban, hogy az operációs rendszer hol keresi a DLL fájlokat. Először ugyanabba a mappába néz, mint az alkalmazás mappa, majd keresni kezd az operációs rendszer környezeti változói által meghatározott prioritások alapján. Így ha jó.A dll fájl a SysWOW64 mappában található, és valaki rosszat helyez el.dll egy olyan mappában, amely nagyobb prioritással rendelkezik a SysWOW64 mappához képest, az operációs rendszer a rosszat fogja használni.dll fájl, mivel ugyanaz a neve, mint az alkalmazás által kért DLL. A RAM-ba kerülve futtathatja a fájlban található rosszindulatú kódot, és veszélyeztetheti a számítógépet vagy a hálózatokat.

Hogyan lehet felismerni a DLL eltérítést

A DLL-eltérítés észlelésének és megakadályozásának legegyszerűbb módja harmadik féltől származó eszközök használata. Van néhány jó ingyenes eszköz a piacon, amelyek segítenek a DLL feltörési kísérletének felderítésében és megakadályozásában.

Az egyik ilyen program a DLL Hijack Auditor, de csak 32 bites alkalmazásokat támogat. Telepítheti számítógépére, és beolvashatja az összes Windows-alkalmazást, hogy megnézze, mi minden alkalmazás sérülékeny a DLL-eltérítéssel szemben. A felület egyszerű és magától értetődő. Az alkalmazás egyetlen hátránya, hogy nem tudja beolvasni a 64 bites alkalmazásokat.

Egy másik program, a DLL-eltérítés észlelésére, a DLL_HIJACK_DETECT elérhető a GitHubon keresztül. Ez a program ellenőrzi az alkalmazásokat, hogy kiderüljön, hogy valamelyikük sérülékeny-e a DLL-eltérítéssel szemben. Ha igen, a program tájékoztatja a felhasználót. Az alkalmazásnak két verziója van - x86 és x64, így mindkettőt használhatja mind a 32, mind a 64 bites alkalmazások beolvasására.

Meg kell jegyezni, hogy a fenti programok csak a Windows platformon található alkalmazásokat vizsgálják meg a sérülékenységek szempontjából, és valójában nem akadályozzák meg a DLL fájlok eltérítését.

Hogyan lehet megakadályozni a DLL eltérítést

A kérdést elsősorban a programozóknak kell kezelniük, mivel nem sokat tehetnek, csak a biztonsági rendszerek feljavítását. Ha relatív elérési út helyett a programozók abszolút elérési utat kezdenek használni, akkor a sérülékenység csökken. Az abszolút elérési út beolvasása esetén a Windows vagy bármely más operációs rendszer nem függ a rendszerváltozóktól az útvonalon, és egyenesen megy a tervezett DLL-re, elvetve ezzel annak esélyét, hogy azonos nevű DLL-t magasabb prioritású útvonalra töltsön be. Ez a módszer szintén nem hibabiztos, mert ha a rendszer sérül, és az internetes bűnözők ismerik a DLL pontos útvonalát, akkor az eredeti DLL-et lecserélik a hamis DLL-re. Ez a fájl felülírása lenne, így az eredeti DLL rosszindulatú kódra változik. De a számítógépes bűnözőnek meg kell ismernie az alkalmazásban említett abszolút utat, amely a DLL-t kéri. A folyamat nehéz a számítógépes bűnözők számára, ezért számolni lehet vele.

Visszatérve arra, hogy mit tehet, csak próbálja meg bővíteni a biztonsági rendszereket a Windows rendszer jobb védelme érdekében. Használjon jó tűzfalat. Ha lehetséges, használjon hardveres tűzfalat, vagy kapcsolja be az útválasztó tűzfalát. Használjon jó behatolás-érzékelő rendszereket, hogy megtudja, próbál-e valaki játszani a számítógépével.

Ha a számítógépek hibaelhárításával foglalkozik, akkor az alábbiak szerint végezheti el a biztonságot:

1. Tiltsa le a DLL betöltését távoli hálózati megosztásokról
2. Tiltsa le a DLL fájlok WebDAV-ból való betöltését
3. Teljesen tiltsa le a WebClient szolgáltatást, vagy állítsa manuálisra
4. Blokkolja a 445 és 139 TCP portokat, mivel azokat használják a számítógépek veszélyeztetésére
5. Telepítse az operációs rendszer és a biztonsági szoftver legújabb frissítéseit.

Microsoft kiadott egy eszközt a DLL terheléseltérítő támadások blokkolásához. Ez az eszköz csökkenti a DLL-eltérítési támadások kockázatát azáltal, hogy megakadályozza az alkalmazásokat, hogy bizonytalanul töltsenek be kódot a DLL fájlokból.

Ha bármit hozzá szeretne adni a cikkhez, kérjük, tegye meg észrevételeit alább.