A DLL a Dynamic Link könyvtárak és a Windows vagy bármely más operációs rendszeren futó alkalmazások külső része. A legtöbb alkalmazás önmagában nem teljes és tárolja a kódot különböző fájlokban. Ha szükség van a kódra, a kapcsolódó fájl betölti a memóriába és használják. Ez csökkenti az alkalmazásfájl méretét, miközben optimalizálja a RAM használatát. Ez a cikk elmagyarázza, mi is DLL-eltérés és hogyan lehet észlelni és megakadályozni.
Milyen DLL fájlok vagy dinamikus link könyvtárak
A DLL fájlok elérési útját a Windows operációs rendszer állítja be. Az elérési útvonal a Globális Környezeti Változók használatával van beállítva. Alapértelmezés szerint, ha egy alkalmazás DLL fájlt kér, az operációs rendszer ugyanabba a mappába néz, amelyben az alkalmazás tárolódik. Ha nem találja ott, akkor a globális változók által beállított többi mappába kerül. Az elérési útvonalakhoz prioritások vannak, és segít a Windowsnak meghatározni, hogy mely mappák keresik a DLL-eket. Itt jön be a DLL lebegés.
Mi az a DLL elvonása?
Mivel a DLL-ek kiterjesztések, és szinte az összes alkalmazás használata szükséges a gépeken, a számítógépen különböző mappákban vannak jelen, ahogyan azt kifejtettük. Ha az eredeti DLL-fájlt egy hamis kódot tartalmazó hamis DLL-fájl váltja fel, az úgynevezett DLL-eltérés.
Mint korábban említettük, vannak olyan prioritások, amelyekre az operációs rendszer DLL fájlokat keres. Először is az alkalmazás mappájához hasonló mappát néz, majd az operációs rendszer környezeti változói által meghatározott prioritások alapján keresi a keresést. Így ha egy good.dll fájl a SysWOW64 mappában van, és valaki rossz Dll-t helyez el egy olyan mappába, amely nagyobb prioritást élvez a SysWOW64 mappához képest, az operációs rendszer a bad.dll fájlt használja, mivel ugyanaz a neve, mint a DLL kérelem alapján. Egyszer a RAM-ban végrehajthatja a fájlban található rosszindulatú kódot, és veszélyeztetheti a számítógépet vagy a hálózatokat.
Hogyan lehet észlelni a DLL elvonulását?
A legegyszerűbb módja a DLL-eltérítés felderítése és megakadályozása harmadik féltől származó eszközök használata. Van néhány jó szabad eszköz elérhető a piacon, amely segíti a DLL hack kísérlet észlelésében és megelőzésében.
Az egyik ilyen program a DLL Hijack Auditor, de csak 32 bites alkalmazásokat támogat. Telepítheti a számítógépére, és beolvashatja az összes Windows-alkalmazást, hogy megnézze, hogy az összes alkalmazás sebezhető-e a DLL-eltérítésre. Az interfész egyszerű és magától értetődő. Ennek az alkalmazásnak az egyetlen hátránya, hogy nem tud 64 bites alkalmazásokat letapogatni.
Egy másik program, amely a DLL_HIJACK_DETECT DLL-et észleli, a GitHubon keresztül érhető el. Ez a program ellenőrzi az alkalmazásokat, hogy meggyőződjenek róla, hogy ezek közül bármelyik sebezhető-e a DLL lefúrásához. Ha igen, a program tájékoztatja a felhasználót. Az alkalmazásnak két verziója van: x86 és x64, így mindkettő mind a 32 bites, mind pedig a 64 bites alkalmazást egyaránt használhatja.
Meg kell jegyezni, hogy a fenti programok csak a Windows platformon lévő alkalmazások beolvasását teszik lehetővé a biztonsági rések miatt, és nem akadályozzák meg a DLL-fájlok eltérítését.
Hogyan lehet megakadályozni a DLL elvonulását?
A kérdést elsősorban a programozóknak kell megoldani, mivel nem sok mindent tehetünk, kivéve a biztonsági rendszereket. Ha relatív útvonal helyett a programozók abszolút elérési utat kezdnek, akkor a sebezhetőség csökken. Az abszolút elérési út, a Windows vagy bármely más operációs rendszer leolvasása nem függ az elérési rendszer változóitól, és egyenesen megy a tervezett DLL-hez, ezzel elhagyva az azonos nevű DLL-et egy magasabb prioritású elérési útvonalon. Ez a módszer is nem hibatűrő, mert ha a rendszer veszélybe kerül, és a számítógépes bűnözők tudják a DLL pontos elérési útját, akkor az eredeti DLL-t a hamis DLL-sel helyettesítik. Ez felülírja a fájlt úgy, hogy az eredeti DLL rosszindulatú kódká váljon. De ismét a cyber-bűnözőnek tudnia kell az alkalmazásban említett pontos abszolút útvonalat, amely a DLL-t igényli. A folyamat kemény a számítógépes bűnözők számára, és így számolni lehet.
Visszatérve attól, amit tehetünk, próbáljuk megnövelni biztonsági rendszerét, hogy biztonságosabbá tegyük a Windows rendszert. Használjon egy jó tűzfalat. Ha lehetséges, használjon hardveres tűzfalat vagy kapcsolja be az útválasztó tűzfalát. Használj jó behatolásjelző rendszereket, hogy tudd, ha valaki megpróbál játszani a számítógéppel.
Ha hibaelhárító számítógépről van szó, a következő lépésekkel is elvégezheti a biztonságot:
- Letiltja a DLL betöltését a távoli hálózati megosztásokból
- Letiltja a DLL fájlok betöltését a WebDAV-ból
- Tiltsa le teljesen a WebClient szolgáltatást vagy állítsa kézi üzemmódba
- A 445 és 139 TCP portok blokkolása, mivel a legtöbbet a számítógépek veszélyeztetésére használják
- Telepítse az operációs rendszer és a biztonsági szoftver legújabb frissítéseit.
Microsoft kiadott egy eszközt a DLL terhelés-átterelési támadások blokkolására. Ez az eszköz enyhíti a DLL átterjedési támadások kockázatát, mivel megakadályozza, hogy az alkalmazások biztosan betöltsék a kódot a DLL fájlokból.
Ha valamit szeretne hozzáadni a cikkhez, kérjük, írja meg a következő megjegyzést.
