Útočné chyby, prevence a detekce únosů DLL únosem

DLL znamená Dynamic Link Libraries a je externí částí aplikací, které běží na Windows nebo jiném operačním systému. Většina aplikací není sama o sobě úplná a ukládá kód do různých souborů. Pokud je kód potřeba, načte se související soubor do paměti a použije se. To snižuje velikost souboru aplikace a optimalizuje využití paměti RAM. Tento článek vysvětluje, co je Únos DLL a jak to zjistit a zabránit mu.

Co jsou soubory DLL nebo knihovny dynamických odkazů

Soubory DLL jsou Dynamic Link Libraries a jak je zřejmé z názvu, jsou rozšířeními různých aplikací. Jakákoli aplikace, kterou používáme, může nebo nemusí používat určité kódy. Tyto kódy jsou uloženy v různých souborech a jsou vyvolány nebo načteny do paměti RAM pouze v případě, že je vyžadován související kód. Ukládá tedy soubor aplikace, aby se nestal příliš velkým, a aby zabránil hogging prostředků aplikací.

Cesta k souborům DLL je nastavena operačním systémem Windows. Cesta je nastavena pomocí globálních proměnných prostředí. Ve výchozím nastavení, pokud aplikace požaduje soubor DLL, operační systém vyhledá stejnou složku, ve které je aplikace uložena. Pokud tam není nalezen, přejde do jiných složek nastavených globálními proměnnými. K cestám jsou připojeny priority a pomáhá systému Windows při určování toho, jaké složky hledat knihovny DLL. Tady přichází únos DLL.

Co je DLL únos

Vzhledem k tomu, že DLL jsou rozšíření a jsou nezbytná pro používání téměř všech aplikací na vašich počítačích, jsou v počítači přítomny v různých složkách, jak je vysvětleno. Pokud je původní soubor DLL nahrazen falešným souborem DLL obsahujícím škodlivý kód, je známý jako Únos DLL.

Jak již bylo zmíněno dříve, existují priority ohledně toho, kde operační systém hledá soubory DLL. Nejprve se podívá do stejné složky jako složka aplikace a poté prohledá na základě priorit stanovených proměnnými prostředí operačního systému. Takže pokud dobrý.dll soubor je ve složce SysWOW64 a někdo umístí špatný.dll ve složce, která má vyšší prioritu ve srovnání se složkou SysWOW64, operační systém použije špatnou.dll soubor, protože má stejný název jako DLL požadovaná aplikací. Jakmile je v paměti RAM, může spustit škodlivý kód obsažený v souboru a může ohrozit váš počítač nebo sítě.

Jak detekovat únos DLL

Nejjednodušší metodou detekce a zabránění únosu DLL je použití nástrojů třetích stran. Na trhu je k dispozici několik dobrých bezplatných nástrojů, které pomáhají detekovat pokus o hacknutí DLL a zabránit mu.

Jedním z takových programů je DLL Hijack Auditor, ale podporuje pouze 32bitové aplikace. Můžete jej nainstalovat do počítače a skenovat všechny aplikace systému Windows, abyste zjistili, které všechny aplikace jsou zranitelné při únosu DLL. Rozhraní je jednoduché a srozumitelné. Jedinou nevýhodou této aplikace je, že nemůžete skenovat 64bitové aplikace.

Další program pro detekci únosů DLL, DLL_HIJACK_DETECT, je k dispozici prostřednictvím GitHub. Tento program kontroluje aplikace, aby zjistil, zda některá z nich není zranitelná vůči únosu DLL. Pokud ano, program informuje uživatele. Aplikace má dvě verze - x86 a x64, takže můžete každou použít ke skenování 32bitové i 64bitové aplikace.

Je třeba poznamenat, že výše uvedené programy pouze skenují aplikace na platformě Windows kvůli zranitelnostem a ve skutečnosti nezabraňují únosu souborů DLL.

Jak zabránit únosu DLL

S tímto problémem by se měli nejprve zabývat programátoři, protože kromě posílení bezpečnostních systémů nemůžete dělat nic jiného. Pokud místo relativní cesty začnou programátoři používat absolutní cestu, bude zranitelnost snížena. Čtení absolutní cesty, Windows nebo jakýkoli jiný operační systém nebude záviset na systémových proměnných pro cestu a půjde přímo pro zamýšlenou DLL, čímž zamítne šance načtení stejného jména DLL do cesty s vyšší prioritou. I tato metoda není odolná proti selhání, protože pokud je systém napaden a kyberzločinci znají přesnou cestu DLL, nahradí původní DLL falešnou DLL. To by přepsalo soubor tak, aby se původní DLL změnila na škodlivý kód. Kybernetický zločinec však bude muset znát přesnou absolutní cestu uvedenou v aplikaci, která požaduje knihovnu DLL. Tento proces je pro kyberzločince náročný, a proto s ním lze počítat.

Vrátíme-li se k tomu, co můžete udělat, zkuste rozšířit své zabezpečovací systémy a lépe zabezpečit svůj systém Windows. Použijte dobrý firewall. Pokud je to možné, použijte hardwarovou bránu firewall nebo zapněte bránu firewall směrovače. Používejte dobré systémy detekce narušení, abyste věděli, jestli se někdo pokouší hrát s vaším počítačem.

Pokud se zabýváte řešením problémů s počítači, můžete pro zvýšení zabezpečení také provést následující:

1. Zakázat načítání DLL ze sdílených vzdálených sítí
2. Zakázat načítání souborů DLL z WebDAV
3. Službu WebClient úplně deaktivujte nebo ji nastavte na manuální
4. Blokujte porty TCP 445 a 139, protože se nejčastěji používají pro kompromitování počítačů
5. Nainstalujte si nejnovější aktualizace operačního systému a bezpečnostního softwaru.

Microsoft vydala nástroj k blokování útoků únosů načtení DLL. Tento nástroj snižuje riziko únosů DLL útoky tím, že brání aplikacím v nezabezpečeném načítání kódu ze souborů DLL.

Pokud byste chtěli k článku cokoli přidat, prosím komentujte níže.