A DLL^(DLL) a Dynamic Link Libraries rövidítése , és a ^{(Dynamic Link Libraries)}Windowson^(Windows) vagy bármely más operációs rendszeren futó alkalmazások külső részei . A legtöbb alkalmazás önmagában nem teljes, és a kódot különböző fájlokban tárolja. Ha szükség van a kódra, a kapcsolódó fájl betöltődik a memóriába, és felhasználható. Ez csökkenti az alkalmazásfájl méretét, miközben optimalizálja a RAM használatát . Ez a cikk elmagyarázza, mi az a DLL-eltérítés^{(DLL Hijacking)} , és hogyan észlelhető és megelőzhető.

Mik azok a DLL fájlok^(Files) vagy Dynamic Link Libraries

A DLL^(DLL) fájlok Dynamic Link Libraries , és ahogy a névből is kitűnik, különböző alkalmazások kiterjesztései. Bármely általunk használt alkalmazás használhat bizonyos kódokat, vagy nem. Az ilyen kódokat különböző fájlokban tárolják, és csak akkor hívják meg vagy töltik be a RAM -ba , ha a kapcsolódó kódra szükség van. Így megóvja az alkalmazásfájlt attól, hogy túl nagy legyen, és megakadályozza, hogy az alkalmazás elkapja az erőforrásokat.

A DLL fájlok elérési útját a Windows operációs rendszer határozza meg. Az elérési út a Global Environmental Variables segítségével van beállítva . Alapértelmezés szerint, ha egy alkalmazás DLL -fájlt kér, az operációs rendszer ugyanabba a mappába néz, amelyben az alkalmazás található. Ha ott nem található, akkor a globális változók által beállított más mappákba megy. Az útvonalakhoz prioritások kapcsolódnak, és ez segít a Windowsnak^(Windows) meghatározni, hogy mely mappákban keresse a DLL^(DLLs) -eket . Itt jön be a DLL -eltérítés.

Mi az a DLL-eltérítés?

Mivel a DLL^(DLLs) -ek kiterjesztések, és csaknem az összes alkalmazás használatához szükségesek a számítógépen, a számítógépen különböző mappákban találhatók, amint azt a magyarázatban kifejtjük. Ha az eredeti DLL -fájlt rosszindulatú kódot tartalmazó hamis ^(DLL)DLL -fájlra cserélik , azt DLL-eltérítésnek^{(DLL Hijacking)} nevezik .

Amint azt korábban említettük, prioritások vannak arra vonatkozóan, hogy az operációs rendszer hol keresi a DLL fájlokat. Először^(First) ugyanabba a mappába néz, mint az alkalmazásmappa, majd keresni kezd az operációs rendszer környezeti változói által beállított prioritások alapján. Így ha egy good.dll fájl a SysWOW64 mappában van, és valaki egy bad.dll fájlt egy olyan mappába helyez el, amelynek magasabb prioritása van, mint a SysWOW64 mappában, akkor az operációs rendszer a bad.dll fájlt fogja használni, mivel annak ugyanaz a neve, mint a DLL -nek. kérte a pályázat. A RAM -ba kerülve végrehajthatja a fájlban található rosszindulatú kódot, és feltörheti számítógépét vagy hálózatait.

Hogyan lehet felismerni a DLL-eltérítést

A DLL^(DLL) -eltérítés észlelésének és megelőzésének legegyszerűbb módja harmadik féltől származó eszközök használata. A piacon elérhető néhány jó ingyenes eszköz, amely segít a DLL - feltörési kísérletek észlelésében és megelőzésében.

Az egyik ilyen program a DLL Hijack Auditor , de csak a 32 bites alkalmazásokat támogatja. Telepítheti a számítógépére, és átvizsgálhatja az összes Windows-alkalmazást, hogy megtudja, melyik alkalmazás sebezhető a DLL - eltérítéssel szemben. A felület egyszerű és magától értetődő. Ennek az alkalmazásnak az egyetlen hátránya, hogy nem tudja beolvasni a 64 bites alkalmazásokat.

Egy másik program a DLL -eltérítés észlelésére,  a DLL_HIJACK_DETECT, elérhető a GitHubon^(GitHub) keresztül . Ez a program ellenőrzi az alkalmazásokat, hogy megbizonyosodjon arról, hogy valamelyikük sebezhető-e a DLL - eltérítéssel szemben. Ha igen, a program tájékoztatja a felhasználót. Az alkalmazásnak két verziója van – x86 és x64 , így mindegyiket használhatja a 32 bites és a 64 bites alkalmazások vizsgálatára is.

Megjegyzendő, hogy a fenti programok csak a Windows platformon lévő alkalmazásokban keresik a biztonsági réseket , és valójában nem akadályozzák meg a DLL - fájlok eltérítését.

Hogyan lehet megakadályozni a DLL-eltérítést

A problémát elsősorban a programozóknak kell megoldaniuk, mivel nem sok mást tehet, mint a biztonsági rendszereinek feljavítását. Ha a programozók relatív elérési út helyett abszolút elérési utat kezdenek használni, a sérülékenység csökken. Az abszolút elérési út beolvasásakor a Windows vagy bármely más operációs rendszer nem függ az elérési út rendszerváltozóitól, és egyenesen a tervezett DLL -hez megy , ezáltal kizárja annak esélyét, hogy az azonos nevű DLL -t magasabb prioritású elérési úton töltsék be. Ez a módszer sem hibabiztos, mert ha a rendszer kompromittálódik, és a kiberbűnözők tudják a DLL pontos elérési útját , akkor az eredeti ^(DLL)DLL -t hamis DLL -re cserélik .. Ez a fájl felülírását jelenti, így az eredeti DLL rosszindulatú kódká változik. A kiberbûnözõnek azonban tudnia kell a DLL^(DLL) -t kérõ alkalmazásban említett pontos abszolút elérési utat . A folyamat nehéz a kiberbűnözők számára, ezért számítani lehet rá.

Visszatérve arra, hogy mit tehet, próbálja meg felnagyítani a biztonsági rendszereket, hogy jobban megvédje Windows rendszerét^{(secure your Windows system)} . Használj jó tűzfalat^(firewall) . Ha lehetséges, használjon hardveres tűzfalat, vagy kapcsolja be az útválasztó tűzfalát. Használjon jó behatolásérzékelő rendszereket , hogy tudja, ha valaki próbál játszani a számítógépével.

Ha a számítógépek hibaelhárításával foglalkozik, biztonsága érdekében a következőket is elvégezheti:

1. DLL -betöltés letiltása távoli hálózati megosztásokról
2. Tiltsa le a DLL -fájlok betöltését a WebDAV -ból^(WebDAV)
3. Teljesen tiltsa le a WebClient szolgáltatást, vagy állítsa manuálisra
4. Blokkolja^(Block) a 445-ös és 139-es TCP -portokat, mivel ezeket leginkább kompromittáló számítógépekre használják
5. Telepítse az operációs rendszer és a biztonsági szoftver legújabb frissítéseit.

A Microsoft^(Microsoft) kiadott egy eszközt a DLL - terhelés elleni támadások blokkolására. Ez az eszköz csökkenti a DLL - eltérítő támadások kockázatát azáltal, hogy megakadályozza, hogy az alkalmazások nem biztonságosan töltsenek be kódot a DLL - fájlokból.

Ha bármit hozzá szeretne adni a cikkhez, kérjük, kommentben írja alá.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL standѕ for Dynamіc Link Libraries and are external parts of applications that run on Windows or аny other operating system. Most applіcations are not complete in themselveѕ and storе code in different files. If there is a need for the code, the related file is loaded into memory and used. This reduces application file size while oрtimizing the usage of RAM. This article exрlains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Mi az a Remote Access Trojan? Megelőzés, észlelés és eltávolítás

• Fájl nélküli rosszindulatú támadások, védelem és észlelés

• Hogyan kerülhetjük el az adathalász csalásokat és támadásokat?

• Kibertámadások – meghatározás, típusok, megelőzés

• Böngésző-eltérítő és ingyenes böngésző-eltérítő-eltávolító eszközök

• Mi az a Backdoor támadás? Jelentés, példák, meghatározások

• Microsoft Windows Logo folyamat a Feladatkezelőben; Ez egy vírus?

• Távfelügyeleti eszközök: kockázatok, veszélyek, megelőzés

• A Chromium Virus eltávolítása a Windows 11/10 rendszerből

• Rosszindulatú programok benyújtása: Hol lehet rosszindulatú programokat küldeni a Microsoftnak és másoknak?

• Rogue Security Software vagy Scareware: Hogyan lehet ellenőrizni, megelőzni, eltávolítani?

• A Crystal Security egy ingyenes, felhő alapú kártevő-észlelő eszköz PC-hez

• Az Avast Boot Scan használata a rosszindulatú programok eltávolítására a Windows PC-ről

• Hogyan lehet eltávolítani a rosszindulatú programokat egy Android telefonról

• A legjobb vírus- és rosszindulatú programkeresők GARANTÁLTAN A Nuke Any Virus ellen

• Hogyan távolítsuk el a vírusriasztást a Microsoftból Windows PC-n

• Mik azok a Living Off The Land támadások? Hogyan maradjunk biztonságban?

• Mi az a CandyOpen? Hogyan lehet eltávolítani a CandyOpen-t a Windows 10 rendszerből?

• A Driver Tonic eltávolítása vagy eltávolítása a Windows 10 rendszerből

• DDoS elosztott szolgáltatásmegtagadási támadások: védelem, megelőzés