DLL-kapning av sårbarhetsattacker, förebyggande och upptäckt

DLL står för Dynamic Link Libraries och är externa delar av applikationer som körs på Windows eller något annat operativsystem. De flesta applikationer är inte kompletta i sig och lagrar kod i olika filer. Om det finns ett behov av koden laddas den relaterade filen i minnet och används. Detta minskar filens storlek samtidigt som användningen av RAM optimeras. Den här artikeln förklarar vad som är DLL-kapning och hur man upptäcker och förhindrar det.

Vad är DLL-filer eller Dynamic Link Libraries

DLL-filer är Dynamic Link Libraries och som det framgår av namnet är de tillägg för olika applikationer. Alla applikationer som vi använder kan använda vissa koder eller inte. Sådana koder lagras i olika filer och anropas eller laddas i RAM endast när den relaterade koden krävs. Det sparar alltså en applikationsfil från att bli för stor och för att förhindra resurssugning av applikationen.

Sökvägen för DLL-filer ställs in av Windows-operativsystemet. Banan ställs in med hjälp av globala miljövariabler. Som standard, om ett program begär en DLL-fil, ser operativsystemet in i samma mapp där applikationen lagras. Om den inte finns där, går den till andra mappar som de globala variablerna anger. Det finns prioriteringar kopplade till banor och det hjälper Windows att bestämma vilka mappar som ska letas efter DLL-filerna. Det är här DLL-kapningen kommer in.

Vad är DLL-kapning

Eftersom DLL-filer är tillägg och nödvändiga för att använda nästan alla applikationer på dina maskiner, finns de på datorn i olika mappar enligt förklaringen. Om den ursprungliga DLL-filen ersätts med en falsk DLL-fil som innehåller skadlig kod, är den känd som DLL-kapning.

Som tidigare nämnts finns det prioriteringar för var operativsystemet letar efter DLL-filer. Först ser det in i samma mapp som applikationsmappen och sedan söker, baserat på de prioriteringar som ställts in av operativsystemets miljövariabler. Således om en bra.dll-filen finns i SysWOW64-mappen och någon placerar en dålig.dll i en mapp som har högre prioritet jämfört med SysWOW64-mappen kommer operativsystemet att använda det dåliga.dll-fil, eftersom den har samma namn som den DLL som ansökan begär. En gång i RAM kan den köra den skadliga koden i filen och kan äventyra din dator eller dina nätverk.

Hur man upptäcker DLL-kapning

Den enklaste metoden för att upptäcka och förhindra DLL-kapning är att använda verktyg från tredje part. Det finns några bra gratisverktyg tillgängliga på marknaden som hjälper till att upptäcka ett DLL-hackförsök och förhindra det.

Ett sådant program är DLL Hijack Auditor men det stöder endast 32-bitarsapplikationer. Du kan installera den på din dator och skanna alla dina Windows-program för att se vad alla applikationer är sårbara för DLL-kapning. Gränssnittet är enkelt och självförklarande. Den enda nackdelen med det här programmet är att du inte kan skanna 64-bitarsapplikationer.

Ett annat program för att upptäcka DLL-kapning, DLL_HIJACK_DETECT, är tillgängligt via GitHub. Detta program kontrollerar applikationer för att se om någon av dem är sårbara för DLL-kapning. Om så är fallet informerar programmet användaren. Applikationen har två versioner - x86 och x64 så att du kan använda var och en för att skanna både 32-bitars respektive 64-bitarsapplikationer.

Det bör noteras att ovanstående program bara söker igenom applikationerna på Windows-plattformen efter sårbarheter och faktiskt inte förhindrar kapning av DLL-filer.

Hur man förhindrar DLL-kapning

Frågan bör tas upp av programmerarna i första hand eftersom det inte finns mycket du kan göra förutom att förbättra dina säkerhetssystem. Om programmerare börjar använda en absolut sökväg istället för en relativ sökväg kommer sårbarheten att minskas. Att läsa den absoluta sökvägen, Windows eller något annat operativsystem beror inte på systemvariabler för sökvägen och kommer att gå rakt fram till den avsedda DLL-filen och därmed avlägsna chansen att ladda samma namn DLL i en högre prioritetsväg. Den här metoden är inte felsäker, för om systemet äventyras och cyberbrottslingarna vet den exakta sökvägen för DLL, kommer de att ersätta den ursprungliga DLL-filen med den falska DLL-filen. Det skulle skriva över filen så att den ursprungliga DLL-filen ändras till skadlig kod. Men återigen kommer cyberkriminella att behöva veta den exakta absoluta vägen som nämns i applikationen som kräver DLL. Processen är tuff för cyberbrottslingar och kan därför räknas med.

Kommer tillbaka till vad du kan göra, försök bara skala upp dina säkerhetssystem för att säkra ditt Windows-system bättre. Använd en bra brandvägg. Om möjligt, använd en hårdvarubrandvägg eller slå på routerns brandvägg. Använd bra system för att upptäcka intrång så att du vet om någon försöker spela med din dator.

Om du gillar felsökning av datorer kan du också utföra följande för att öka din säkerhet:

1. Inaktivera DLL-laddning från fjärranslutna nätverksresurser
2. Inaktivera laddning av DLL-filer från WebDAV
3. Inaktivera WebClient-tjänsten helt eller ställ den till manuell
4. Blockera TCP-portarna 445 och 139 eftersom de används mest för att kompromissa med datorer
5. Installera de senaste uppdateringarna till operativsystemet och säkerhetsprogramvaran.

Microsoft har släppt ett verktyg för att blockera attacker med DLL-kapning. Detta verktyg minskar risken för att attackera DLL-kapningar genom att förhindra att applikationer laddar kod från DLL-filer på ett säkert sätt.

Om du vill lägga till något i artikeln, vänligen kommentera nedan.