DLL eltérések biztonsági rések, megelőzés és észlelés

A DLL a Dynamic Link könyvtáraknak és a Windows vagy bármely más operációs rendszeren futó alkalmazások külső része. A legtöbb alkalmazás önmagában nem teljes és tárolja a kódot különböző fájlokban. Ha szükség van a kódra, a kapcsolódó fájl betölti a memóriába és használják. Ez csökkenti az alkalmazásfájl méretét, miközben optimalizálja a RAM használatát. Ez a cikk elmagyarázza, mi a DLL-eltérés és hogyan észleli és megakadályozza azt.

Mi a DLL fájlok vagy a dinamikus link könyvtárak?

DLL fájlok a Dynamic Link könyvtárak, különböző alkalmazások. Bármely alkalmazásunkat használhatjuk vagy nem használhatunk bizonyos kódokat. Az ilyen kódokat különböző fájlok tárolják, és csak akkor hívják fel vagy töltik fel a RAM-ba, amikor a megfelelő kódot igénylik. Így az alkalmazásfájl túl nagy méretűvé válik és az alkalmazás erőforrás-elhárításának megakadályozása érdekében.

A DLL-fájlok elérési útját a Windows operációs rendszer határozza meg. Az elérési útvonal a Globális Környezeti Változók használatával van beállítva. Alapértelmezés szerint, ha egy alkalmazás DLL fájlt kér, az operációs rendszer ugyanabba a mappába néz, amelyben az alkalmazás tárolódik. Ha nem találja ott, akkor a globális változók által beállított többi mappába kerül. Az elérési útvonalakhoz prioritások vannak, és segít a Windowsnak meghatározni, hogy mely mappák keresik a DLL-eket. Ez az a hely, ahol a DLL eltérítés érkezik.

Mi az a DLL eltérés

Mivel a DLL-ek kiterjesztések és a gépek szinte minden alkalmazásának használatához szükségesek, a számítógépről különböző mappákban vannak jelen, amint azt az előzőekben kifejtettük. Ha az eredeti DLL-fájlt egy hamis kódot tartalmazó hamis DLL-fájl váltja fel, az DLL-eltérés.

Ahogy korábban említettük, vannak olyan prioritások, amelyekre az operációs rendszer DLL-fájlokat keres. Először is az alkalmazás mappájához hasonló mappát néz, majd az operációs rendszer környezeti változói által meghatározott prioritások alapján keresi a keresést. Így ha egy good.dll fájl a SysWOW64 mappában van, és valaki rossz Dll-t helyez el egy olyan mappába, amely nagyobb prioritást élvez a SysWOW64 mappához képest, az operációs rendszer a bad.dll fájlt használja, mivel ugyanaz a neve, mint a DLL kérelem alapján. Egyszer a RAM-ban végrehajthatja a fájlban található rosszindulatú kódot, és veszélyeztetheti a számítógépet vagy hálózatokat.

A DLL-eltérés felderítése

A legegyszerűbb módszer a DLL-eltérítés felderítésére és megakadályozására harmadik féltől származó eszközök használatára. Van néhány jó szabad eszköz a piacon, ami segít a DLL hack kísérlet észlelésében és megelőzésében.

Egy ilyen program a DLL Hijack Auditor, de csak 32 bites alkalmazásokat támogat. Telepítheti a számítógépére, és beolvashatja az összes Windows-alkalmazást, hogy megnézze, hogy az összes alkalmazás sebezhető-e a DLL-eltérítésre. Az interfész egyszerű és magától értetődő. Ennek az alkalmazásnak az egyetlen hátránya, hogy nem tudja beolvasni a 64 bites alkalmazásokat.

Egy másik program, amely a DLL_HIJACK_DETECT DLL-et észleli, elérhető a GitHubon keresztül. Ez a program ellenőrzi az alkalmazásokat, hogy meggyőződjenek róla, hogy ezek közül bármelyik sebezhető-e a DLL lefúrásához. Ha igen, a program tájékoztatja a felhasználót. Az alkalmazásnak két verziója van: x86 és x64, így mindkettő mind a 32 bites, mind pedig a 64 bites alkalmazást is beolvashatja.

Megjegyzendő, hogy a fenti programok csak a Windows platformon lévő alkalmazások biztonsági réseit vizsgálják, és valójában nem megakadályozza a DLL-fájlok eltérítését.

A DLL-eltérés megakadályozása

A problémát elsősorban a programozóknak kell kezelni, mivel nem sok mindent tehetünk, kivéve a biztonsági rendszereket. Ha relatív útvonal helyett a programozók abszolút elérési utat kezdnek, akkor a sebezhetőség csökken. Az abszolút elérési út, a Windows vagy bármely más operációs rendszer leolvasása nem függ az elérési rendszer változóitól, és egyenesen megy a tervezett DLL-hez, ezzel elvetve az azonos nevű DLL betöltését egy magasabb prioritású elérési útvonalon. Ez a módszer is nem hibatűrő, mert ha a rendszer veszélybe kerül, és a számítógépes bűnözők tudják a DLL pontos elérési útját, akkor az eredeti DLL-t a hamis DLL-sel helyettesítik. Ez felülírja a fájlt úgy, hogy az eredeti DLL rosszindulatú kódká váljon. De ismét a cyber-bűnözőnek tudnia kell az alkalmazásban említett pontos abszolút útvonalat, amely a DLL-t igényli. A folyamat kemény a számítógépes bűnözők számára, és így számíthat rá.

Visszatérve attól, amit tehetünk, próbáljuk megnövelni biztonsági rendszerét, hogy biztonságosabbá tegyük a Windows rendszert. Használjon egy jó tűzfalat. Ha lehetséges, használjon hardveres tűzfalat vagy kapcsolja be az útválasztó tűzfalát. Használjon jó behatolásjelző rendszereket, hogy tudd, ha valaki megpróbál játszani a számítógéppel.

Ha problémamegoldó számítógépről van szó, a következőket is elvégezheti a biztonság érdekében:

1. A DLL betöltése letiltva a távoli hálózati megosztásokból
2. Tiltsa le a DLL fájlok betöltését a WebDAV-tól
3. Tiltsa le teljesen a WebClient szolgáltatást vagy állítsa kézire
4. A 445 és 139 TCP portokat blokkolja, mivel a leginkább a számítógépek veszélyeztetésére használatosak
5. Telepítse a legfrissebb frissítéseket a rendszert és biztonsági szoftvereket.

A Microsoft kiadott egy eszközt a DLL terhelés-átterelési támadások blokkolására. Ez az eszköz enyhíti a DLL átterjedési támadások kockázatát azáltal, hogy megakadályozza az alkalmazások biztató betöltését a DLL fájlokból.

Ha valamit szeretne hozzáadni a cikkhez,