DLL označava biblioteke dinamičnih veza i su vanjski dijelovi aplikacija koji se pokreću na Windowsima ili bilo kojem drugom operativnom sustavu. Većina aplikacija nije dovršena sama po sebi i pohranjuje kod u različitim datotekama. Ako postoji potreba za kôdom, povezana datoteka se učitava u memoriju i koristi se. To smanjuje veličinu datoteke aplikacije, a optimizira korištenje RAM-a. Ovaj članak objašnjava što je Otmice DLL-a i kako ga otkriti i spriječiti.
Što su DLL datoteke ili biblioteke dinamičkih veza
Put za DLL datoteke određuje operacijski sustav Windows. Put je postavljen pomoću globalnih varijabli zaštite okoliša. Prema zadanim postavkama, ako aplikacija zatraži DLL datoteku, operativni sustav gleda u istu mapu u kojoj je aplikacija pohranjena. Ako se tamo ne pronađe, odlazi u druge mape koje su postavile globalne varijable. Postoje prioriteti pridodani stazama i pomaže sustavu Windows u određivanju mapa koje traže DLL. Ovdje dolazi do otmice DLL.
Što je otmica DLL
Budući da su DLL-ovi proširenja i potrebni za korištenje gotovo svih aplikacija na vašem računalu, oni su prisutni na računalu u različitim mapama kao što je objašnjeno. Ako je izvorna datoteka DLL zamijenjena lažnom DLL datotekom koja sadrži zlonamjerni kod, poznat je kao Otmice DLL-a.
Kao što je ranije spomenuto, postoje prioriteti oko toga gdje operacijski sustav traži DLL datoteke. Prvo, on gleda u istu mapu kao i aplikacijsku mapu, a potom traži, na temelju prioriteta koje postavljaju varijable okruženja operacijskog sustava. Dakle, ako je datoteka good.dll u mapi SysWOW64 i netko stavlja bad.dll u mapu koja ima veći prioritet u odnosu na mapu SysWOW64, operacijski sustav koristi datoteku bad.dll, jer ima isti naziv kao DLL zatražio zahtjev. Jednom u RAM-u može izvršiti zlonamjerni kôd koji se nalazi u datoteci i može ugroziti vaše računalo ili mreže.
Kako otkriti DLL otmicu
Najlakši način otkrivanja i sprječavanja otmice DLL je korištenje alata treće strane. Postoje neki dobri besplatni alati dostupni na tržištu koji pomažu u otkrivanju DLL hack pokušaja i spriječiti ga.
Jedan takav program je DLL Hijack Auditor, ali podržava samo 32-bitne aplikacije. Možete ga instalirati na svoje računalo i skenirati sve svoje Windows aplikacije da biste vidjeli što su sve aplikacije ranjive na DLL hijack. Sučelje je jednostavno i samoobjasno. Jedini nedostatak ove aplikacije je da ne možete skenirati 64-bitne aplikacije.
Drugi program, za otkrivanje DLL otmice, DLL_HIJACK_DETECT, dostupan je putem GitHub. Ovaj program provjerava aplikacije kako bi vidio je li bilo koji od njih ranjiv na otmicu DLL. Ako jest, program obavještava korisnika. Aplikacija ima dvije verzije - x86 i x64, tako da možete koristiti svaki za skeniranje i 32 bita i 64 bita.
Valja napomenuti da gore navedeni programi samo skeniraju aplikacije na Windows platformi za ranjivosti i zapravo ne sprječavaju otmicu DLL datoteka.
Kako spriječiti otmicu DLL
Problem bi trebao biti riješen od strane programera na prvom mjestu jer nema mnogo što možete učiniti, osim da biste poboljšali svoje sigurnosne sustave. Ako, umjesto relativnog puta, programeri počinju koristiti apsolutnu stazu, ranjivost će se smanjiti. Čitanje apsolutne staze, Windows ili bilo koji drugi operativni sustav neće ovisiti o varijablama sustava za put i da će ići ravno za namjeravan DLL, čime se odbacuju šanse za učitavanje istog naziva DLL u višem prioritetu put. Ova je metoda također neispravna jer ako je sustav ugrožen, a cyber-kriminalci znaju točan put DLL-a, zamijenit će originalni DLL s lažnim DLL-om. To bi prebrisalo datoteku tako da se izvorni DLL promijeni u zlonamjerni kod. Ali opet, cybercriminal će morati znati točnu apsolutnu put navedenu u aplikaciji koja poziva na DLL. Proces je teški za cyber-kriminalce i stoga se može računati.
Vratite se na ono što možete učiniti, samo pokušajte povećati sigurnosne sustave kako biste bolje zaštitili svoj Windows sustav. Koristite dobar vatrozid. Ako je moguće, upotrijebite hardverski vatrozid ili uključite vatrozid usmjerivača. Koristite dobre sustave za otkrivanje upada, tako da znate je li netko pokušao igrati sa svojim računalom.
Ako ste u računalnim rješenjima za rješavanje problema, možete izvršiti i sljedeće za povećanje sigurnosti:
- Onemogućavanje učitavanja DLL iz udaljene dijeljene mreže
- Onemogućite učitavanje DLL datoteka iz WebDAV-a
- Onemogućite potpuno WebClient uslugu ili ga postavite na ručno
- Blokirajte TCP priključke 445 i 139 jer se najčešće koriste za kompromitiranje računala
- Instalirajte najnovija ažuriranja operacijskog sustava i sigurnosnog softvera.
Microsoft objavio je alat za blokiranje DLL tereta otmice napada. Ovaj alat ublažava rizik od napada otmice DLL-a sprečavanjem aplikacija zbog nesigurnog učitavanja koda iz DLL datoteka.
Ako želite dodati nešto na članak, molimo komentirati u nastavku.
