DLL tähistab dünaamilise lingi raamatukogusid ja on Windowsi või mõne muu operatsioonisüsteemi käitatavate rakenduste välised osad. Enamik rakendusi ei ole iseenesest täielikud ja salvesta koodi erinevates failides. Kui koodi vaja on, laaditakse see seotud fail alla mällu ja kasutatakse. See vähendab rakenduse faili suurust, samal ajal optimeerides RAM-i kasutamist. See artikkel selgitab, mis on DLL-i kaaperdamine ja kuidas seda avastada ja vältida.
Mis on DLL-failid või dünaamiliste linkide raamatukogud
DLL-failide tee määrab Windowsi operatsioonisüsteem. Tee määratakse globaalsete keskkonnamuutujate abil. Vaikimisi, kui rakendus nõuab DLL-faili, otsib operatsioonisüsteem samas kaustas, milles rakendus on salvestatud. Kui seda seal ei leidu, läheb see ülemaailmsete muutujate määratud kaustadesse. Teel on seotud prioriteedid ja see aitab Windowsil määrata, millised kaustu otsida DLL-sid. See on DLL-i kaaperdamine.
Mis on DLL-i kaaperdamine
Kuna DLL-id on laiendused ja vajavad peaaegu kõigi teie masinate rakenduste kasutamist, on need arvutid erinevates kaustades, nagu selgitatud. Kui algne DLL-fail asendatakse kuritahtliku koodi sisaldava võltsitud DLL-failiga, on see tuntud kui DLL-i kaaperdamine.
Nagu varem mainitud, on olemas prioriteedid selle kohta, kus operatsioonisüsteem otsib DLL-faile. Esiteks avaneb see rakenduste kaustale sama kausta ja otsib seejärel operatsioonisüsteemi keskkonnamuutujatele seatud prioriteete. Seega, kui fail good.dll on SysWOW64 kaustas ja keegi paneb halva dlli kataloogi, millel on suurem tähtsus kui SysWOW64 kaustas, kasutab operatsioonisüsteem faili bad.dll, kuna see on sama nimega kui DLL-fail taotluses taotletud. Kui see on RAMis, võib see käivitada failis sisalduva pahatahtliku koodi ja võib kahjustada teie arvutit või võrke.
Kuidas tuvastada DLL-i kaaperdamine
Lihtsaim meetod DLL-i kaaperdamise tuvastamiseks ja vältimiseks on kolmanda osapoole tööriistade kasutamine. Turul on mõned head tasuta tööriistad, mis aitavad tuvastada DLL-i häkkimise katseid ja takistada seda.
Üks selline programm on DLL Hijack Auditor, kuid see toetab ainult 32-bitiseid rakendusi. Võite selle installida arvutisse ja skannida kõik oma Windowsi rakendused, et näha, millised on kõik rakendused DLL-i kaaperdamiseks. Liides on lihtne ja iseenesestmõistetav. Selle rakenduse ainus tagasilöök on see, et te ei saa 64-bitiseid rakendusi skannida.
Teine programm, mis tuvastab DLL-i kaaperdamise, DLL_HIJACK_DETECT, on saadaval GitHubi kaudu. See programm kontrollib rakendusi, et näha, kas mõni neist on DLL-i kaaperdamise suhtes haavatav. Kui see on olemas, teatab programm sellest kasutajale. Rakendusel on kaks versiooni - x86 ja x64, nii et saate igaüks neist kasutada nii 32- kui ka 64-bitise rakenduse skannimiseks.
Tuleb märkida, et eespool nimetatud programmid skannivad Windowsi platvormi rakendusi haavatavate kohtade jaoks ja tegelikult ei takista DLL-failide kaaperdamist.
Kuidas vältida DLL-i kaaperdamist
Probleem peaks kõigepealt tegelema programmeerijatega, sest seal pole palju, mida saate teha, välja arvatud selleks, et teie turvasüsteemid saaksid täiustada. Kui suhteline tee asemel hakkavad programmeerijad kasutama absoluutset rada, väheneb haavatavus. Absoluutne tee lugemine ei sõltu Windows või mõni muu operatsioonisüsteem teed süsteemi muutujatest ja läheb otse kavandatud DLL-ile, jättes seega loobumata võimalused laadida sama nime DLL kõrgema prioriteediga teekonda. See meetod ei ole tõrgeteta, sest kui süsteem on kahjustatud ja küberkurjategijad teavad DLL-i täpset asukohta, asendavad nad algse DLL-i võltsitud DLL-iga. See kirjutab faili üle, nii et algne DLL muudetakse pahatahtlikuks koodiks. Aga jällegi peab küberkurjategija teadma rakenduses mainitud täpse absoluutse tee, mis nõuab DLL-i. Küberkurjategijate jaoks on see protsess keeruline ja seega võib seda arvestada.
Tagasipöördumisel saate oma Windowsi süsteemi paremaks turvalisuse tagamiseks oma turvasüsteemid laiendada. Kasutage head tulemüüri. Võimalusel kasutage riistvaralist tulemüüri või lülitage ruuteri tulemüür sisse. Kasutage häid sissetungimise avastamise süsteeme, et saaksite teada, kas keegi proovib teie arvutiga mängida.
Kui satute tõrkeotsingu arvutidesse, võite turvalisuse suurendamiseks teha ka järgmist:
- Keela DLL-i laadimine kaugematest võrguoptsioonidest
- Keela DLL-failide laadimine WebDAV-ist
- Keela WebClient teenus täielikult või seadke see käsitsi
- Blokeeri TCP-pordid 445 ja 139, kuna neid kõige enam kasutatakse arvutite kahjustamiseks
- Installige opsüsteemi ja turvatarkvara uusimad värskendused.
Microsoft on vabastanud DLL-i kaaperdamise rünnakute blokeerimise vahendi. See tööriist leevendab DLL-i kaaperdamise rünnakute ohtu, takistades rakenduste ebaturvalist laadimist DLL-failidest.
Kui soovite artiklile midagi lisada, siis palun kommenteeri allpool.
