DLL tarkoittaa Dynamic Link -kirjastoja ja ovat ulkoisia sovellusosioita, jotka toimivat Windowsissa tai muissa käyttöjärjestelmissä. Useimmat sovellukset eivät ole itsenäisiä ja tallentaa koodia eri tiedostoille. Jos koodia tarvitaan, kyseinen tiedosto ladataan muistiin ja sitä käytetään. Tämä vähentää sovellustiedoston kokoa ja optimoi RAM-muistin käytön. Tässä artikkelissa selitetään, mikä on DLL-kaappaus ja miten se havaitaan ja estetään.
Mitä ovat DLL-tiedostot tai dynaamiset linkkikirjastot
DLL-tiedostojen polku määräytyy Windows-käyttöjärjestelmän mukaan. Polku asetetaan Global Environmental Variables -ominaisuuksilla. Oletusarvoisesti, jos sovellus pyytää DLL-tiedostoa, käyttöjärjestelmä näyttää samalta kansioon, jossa sovellus on tallennettu. Jos sitä ei löydy, se siirtyy muille kansioille, jotka ovat maailmanlaajuisten muuttujien määrittämiä. Polkuihin liittyy prioriteetteja, ja se auttaa Windowsia määrittelemään, mitä kansiot etsivät DLL-tiedostoja. Tässä DLL-kaappaus tulee sisään.
Mikä on DLL-kaappaus
Koska DLL-tiedostot ovat laajennuksia ja ne ovat välttämättömiä käyttämään lähes kaikkia sovelluksia koneissa, ne ovat läsnä tietokoneessa eri kansioissa, kuten selitettiin. Jos alkuperäinen DLL-tiedosto korvataan väärennetyllä DLL-tiedostolla, joka sisältää haitallisen koodin, se tunnetaan nimellä DLL-kaappaus.
Kuten aiemmin mainittiin, on prioriteetteja siitä, missä käyttöjärjestelmä etsii DLL-tiedostoja. Ensin se tarkastelee samaa kansiota kuin sovelluskansio ja sitten etsii sitä, joka perustuu käyttöjärjestelmän ympäristömuuttujien asettamiin prioriteetteihin. Joten jos good.dll-tiedosto on SysWOW64-kansiossa ja joku asettaa bad.dllin kansioon, jolla on korkeampi prioriteetti verrattuna SysWOW64-kansioon, käyttöjärjestelmä käyttää bad.dll-tiedostoa, koska sillä on sama nimi kuin DLL hakemuksen. Kun se on RAM-muistissa, se voi suorittaa tiedostoon sisältyvän haitallisen koodin ja saattaa vaarantaa tietokoneesi tai verkkoesi.
DLL-kaappauksen havaitseminen
Helpoin tapa havaita ja estää DLL-kaappaus on käyttää kolmannen osapuolen työkaluja. Markkinoilla on joitain hyviä vapaita työkaluja, jotka auttavat havaitsemaan DLL-hakkerointiyrityksen ja estämään sen.
Yksi tällainen ohjelma on DLL Hijack Auditor, mutta se tukee vain 32-bittisiä sovelluksia. Voit asentaa sen tietokoneellesi ja skannata kaikki Windows-sovellukset nähdäksesi mitä kaikki sovellukset ovat alttiita DLL-kaappaukselle. Käyttöliittymä on yksinkertainen ja itsestään selvää. Tämän sovelluksen ainoa haittapuoli on se, että et voi skannata 64-bittisiä sovelluksia.
Toinen ohjelma DLL-kaappauksen havaitsemiseksi, DLL_HIJACK_DETECT, on saatavana GitHubin kautta. Tämä ohjelma tarkistaa sovellukset, onko jokin heistä alttiista DLL-kaappaukselle. Jos se on, ohjelma ilmoittaa käyttäjälle. Sovelluksella on kaksi versiota - x86 ja x64, jotta voit käyttää kumpaakin skannata sekä 32- että 64-bittisiä sovelluksia.
On huomattava, että edellä mainitut ohjelmat vain skannaavat sovelluksia Windows-alustalla haavoittuvuuksille eivätkä todellisuudessa estä DLL-tiedostojen kaappaamista.
DLL-kaappauksen estäminen
Ohjelmoijien on ensisijaisesti vastattava kysymyksestä, koska ei ole paljon voit tehdä paitsi turvajärjestelmien vahvistamiseen. Jos suhteellisen polun sijasta ohjelmoijat alkavat käyttää absoluuttista polkua, haavoittuvuutta vähennetään. Absoluuttisen polun, Windowsin tai muun käyttöjärjestelmän lukeminen ei riipu polun järjestelmämuuttujista, ja se menee suoraan suunnitellulle DLL: lle, jolloin hylkäävät mahdollisuudet ladata saman nimisen DLL: n korkeammalle prioriteettitielle. Tämä menetelmä ei myöskään ole epäonnistunut, koska jos järjestelmä on vaarassa, ja tietoverkkorikolliset tietävät tarkan DLL-polun, ne korvaavat alkuperäisen DLL: n fake DLL: llä. Tämä korvaisi tiedoston niin, että alkuperäinen DLL muutettaisiin haitalliseksi koodiksi. Mutta jälleen kerran, cybercriminal on tiedettävä tarkka absoluuttinen polku mainittu sovellus, joka vaatii DLL. Prosessi on kova tietoverkkorikollisille ja siksi se voidaan laskea.
Palataksesi siihen, mitä voit tehdä, yritä vain kasvattaa tietoturvaratkaisuja parantamaan Windows-järjestelmääsi. Käytä hyvää palomuuria. Jos mahdollista, käytä laitteiston palomuuria tai käynnistä reitittimen palomuuri. Käytä hyviä tunkeutumisen havainnointijärjestelmiä, jotta tiedät, onko joku yrittänyt pelata tietokoneesi kanssa.
Jos asennat vianmääritysohjelmia tietokoneeseen, voit myös tehdä turvallisuustason seuraavalla tavalla:
- Poista DLL-lataus käytöstä etäverkko-osuuksista
- Poista DLL-tiedostojen lataaminen käytöstä WebDAV: ltä
- Poista WebClient-palvelu käytöstä kokonaan tai aseta se käsin
- Estä TCP-portit 445 ja 139, koska niitä käytetään eniten tietokoneiden vaarantumiseen
- Asenna uusimmat päivitykset käyttöjärjestelmään ja tietoturvaohjelmiin.
Microsoft on julkaissut työkalun estää DLL-kuorman kaappaus hyökkäykset. Tämä työkalu heikentää DLL-kaappaus-iskujen riskiä estämällä sovellukset lataamasta koodia tietämättömästi DLL-tiedostoista.
Jos haluat lisätä artikkeliin jotain, kommenta alla.
