Ασφάλεια

Τι είναι η πειρατεία DLL; Πώς να αποτρέψετε την κατάληψη DLL; Αυτή η ανάρτηση μιλάει για τη λειτουργία ευπάθειας και επίθεσης και προτείνει μεθόδους ανίχνευσης και αφαίρεσης. Το DLL αντιπροσωπεύει τις βιβλιοθήκες Dynamic Link και είναι εξωτερικά τμήματα εφαρμογών που εκτελούνται σε Windows ή σε οποιοδήποτε άλλο λειτουργικό σύστημα. Οι περισσότερες εφαρμογές δεν είναι πλήρεις από μόνα τους και αποθηκεύουν κώδικα σε διαφορετικά αρχεία. Εάν υπάρχει ανάγκη για τον κώδικα, το σχετικό αρχείο φορτώνεται στη μνήμη και χρησιμοποιείται. Αυτό μειώνει το μέγεθος του αρχείου της εφαρμογής ενώ βελτιστοποιεί τη χρήση της μνήμης RAM. Το άρθρο αυτό εξηγεί τι είναι DLL Hijacking

και πώς να το ανιχνεύσει και να το αποτρέψει.

Τι είναι τα αρχεία DLL ή οι βιβλιοθήκες Dynamic Link

DLL είναι οι Dynamic Link Libraries και όπως είναι εμφανές από το όνομα, διαφορετικών εφαρμογών. Κάθε εφαρμογή που χρησιμοποιούμε μπορεί να χρησιμοποιεί συγκεκριμένους κωδικούς ή όχι. Αυτοί οι κωδικοί αποθηκεύονται σε διαφορετικά αρχεία και καλούνται ή φορτώνονται στη μνήμη RAM μόνο όταν απαιτείται ο σχετικός κωδικός. Έτσι, αποθηκεύει ένα αρχείο εφαρμογής από το να γίνει υπερβολικά μεγάλο και να αποτρέψει την hogging πόρων από την εφαρμογή.

Η διαδρομή για τα αρχεία DLL έχει οριστεί από το λειτουργικό σύστημα Windows. Η διαδρομή ορίζεται με τη χρήση Παγκόσμιων περιβαλλοντικών μεταβλητών. Από προεπιλογή, εάν μια εφαρμογή ζητά ένα αρχείο DLL, το λειτουργικό σύστημα εξετάζει τον ίδιο φάκελο στον οποίο αποθηκεύεται η εφαρμογή. Εάν δεν βρίσκεται εκεί, πηγαίνει σε άλλους φακέλους, όπως ορίζονται από τις συνολικές μεταβλητές. Υπάρχουν προτεραιότητες που συνδέονται με τις διαδρομές και βοηθάει τα Windows να καθορίζουν ποιους φακέλους να αναζητούν τα DLL. Εδώ είναι το σημείο κατάρρευσης DLL

Τι είναι η απάτη DLL Δεδομένου ότι τα DLL είναι επεκτάσεις και είναι απαραίτητα για τη χρήση σχεδόν όλων των εφαρμογών στις μηχανές σας, υπάρχουν στον υπολογιστή σε διαφορετικούς φακέλους όπως εξηγείται. Εάν το αρχικό αρχείο DLL αντικατασταθεί από ένα ψεύτικο αρχείο DLL που περιέχει κακόβουλο κώδικα, είναι γνωστό ως Κλοπή DLL

Όπως αναφέρθηκε προηγουμένως, υπάρχουν προτεραιότητες ως προς το πού το λειτουργικό σύστημα αναζητά αρχεία DLL. Πρώτον, εξετάζει τον ίδιο φάκελο με τον φάκελο της εφαρμογής και στη συνέχεια αναζητά, με βάση τις προτεραιότητες που έχουν καθοριστεί από τις μεταβλητές περιβάλλοντος του λειτουργικού συστήματος. Έτσι, εάν ένα αρχείο good.dll βρίσκεται στο φάκελο SysWOW64 και κάποιος τοποθετεί ένα bad.dll σε ένα φάκελο που έχει μεγαλύτερη προτεραιότητα σε σχέση με το φάκελο SysWOW64, το λειτουργικό σύστημα θα χρησιμοποιήσει το αρχείο bad.dll, καθώς έχει το ίδιο όνομα με το DLL που ζητείται από την αίτηση. Μόλις βρεθεί στη μνήμη RAM, μπορεί να εκτελέσει τον κακόβουλο κώδικα που περιέχεται στο αρχείο και μπορεί να θέσει σε κίνδυνο τον υπολογιστή ή τα δίκτυά σας.

Τρόπος ανίχνευσης απάτης DLL

Η πιο εύκολη μέθοδος ανίχνευσης και αποτροπής της πειρατείας DLL είναι η χρήση εργαλείων άλλων κατασκευαστών. Υπάρχουν μερικά καλά δωρεάν εργαλεία που διατίθενται στην αγορά και τα οποία βοηθούν στην ανίχνευση μιας προσπάθειας απόσπασης DLL και την αποτροπή της.

Ένα τέτοιο πρόγραμμα είναι ο DLL Hijack Auditor αλλά υποστηρίζει μόνο εφαρμογές 32 bit. Μπορείτε να το εγκαταστήσετε στον υπολογιστή σας και να σαρώσετε όλες τις εφαρμογές των Windows για να δείτε τι όλες οι εφαρμογές είναι ευάλωτες σε αεροπλάνο DLL. Η διεπαφή είναι απλή και αυτονόητη. Το μόνο μειονέκτημα αυτής της εφαρμογής είναι ότι δεν μπορείτε να σαρώσετε εφαρμογές 64 bit.

Ένα άλλο πρόγραμμα, για την ανίχνευση απάτης DLL, DLL_HIJACK_DETECT, είναι διαθέσιμο μέσω του GitHub. Αυτό το πρόγραμμα ελέγχει τις εφαρμογές για να διαπιστώσει εάν κάποιο από αυτά είναι ευάλωτα σε αεροπειρατεία DLL. Εάν υπάρχει, το πρόγραμμα ενημερώνει τον χρήστη. Η εφαρμογή έχει δύο εκδόσεις - x86 και x64, ώστε να μπορείτε να χρησιμοποιήσετε το καθένα για να σαρώσετε τόσο τις 32 bit όσο και τις 64 bit εφαρμογές αντίστοιχα.

Πρέπει να σημειωθεί ότι τα παραπάνω προγράμματα σαρώνουν τις εφαρμογές στην πλατφόρμα Windows για ευπάθειες αποφυγή της πειρατείας των αρχείων DLL

Πώς να αποτρέψετε την απάτη DLL

Το ζήτημα θα πρέπει να αντιμετωπιστεί από τους προγραμματιστές, αφού δεν υπάρχει τίποτα που μπορείτε να κάνετε εκτός από την ενίσχυση των συστημάτων ασφαλείας. Αν, αντί μιας σχετικής διαδρομής, οι προγραμματιστές αρχίζουν να χρησιμοποιούν απόλυτη διαδρομή, το τρωτό σημείο θα μειωθεί. Η ανάγνωση της απόλυτης διαδρομής, των Windows ή οποιουδήποτε άλλου λειτουργικού συστήματος δεν θα εξαρτηθεί από τις μεταβλητές συστήματος για τη διαδρομή και θα πάει κατευθείαν για το DLL που προορίζεται, απορρίπτοντας έτσι τις πιθανότητες φόρτωσης του ίδιου ονόματος DLL σε διαδρομή υψηλότερης προτεραιότητας. Αυτή η μέθοδος πάρα πολύ, δεν είναι αποτυχημένη επειδή, αν το σύστημα είναι κατεστραμμένο, και οι εγκληματίες του κυβερνοχώρου γνωρίζουν την ακριβή διαδρομή του DLL, θα αντικαταστήσουν το αρχικό DLL με το ψεύτικο DLL. Αυτό θα αντικαθιστούσε το αρχείο έτσι ώστε το αρχικό DLL να μετατραπεί σε κακόβουλο κώδικα. Αλλά και πάλι, ο εγκληματίας του κυβερνοχώρου θα πρέπει να γνωρίζει την ακριβή απόλυτη πορεία που αναφέρεται στην εφαρμογή που απαιτεί το DLL. Η διαδικασία είναι δύσκολη για τους κυβερνοεγκληματίες και ως εκ τούτου μπορεί να υπολογιστεί.

Επιστρέφοντας σε αυτό που μπορείτε να κάνετε, απλά προσπαθήστε να μεγεθύνετε τα συστήματα ασφαλείας σας για να προστατέψετε καλύτερα το σύστημά σας των Windows. Χρησιμοποιήστε ένα καλό τείχος προστασίας. Εάν είναι δυνατόν, χρησιμοποιήστε ένα τείχος προστασίας υλικού ή ενεργοποιήστε το τείχος προστασίας του δρομολογητή. Χρησιμοποιήστε καλά συστήματα ανίχνευσης εισβολής έτσι ώστε να γνωρίζετε εάν κάποιος προσπαθεί να παίξει με τον υπολογιστή σας.

1. Εάν βρίσκεστε σε αντιμετώπιση προβλημάτων υπολογιστών, μπορείτε επίσης να εκτελέσετε τα παρακάτω για να βελτιώσετε την ασφάλεια:
2. Απενεργοποίηση φόρτωσης DLL από απομακρυσμένα κοινόχρηστα στοιχεία δικτύου
3. Απενεργοποίηση φόρτωσης αρχείων DLL από WebDAV
4. Απενεργοποιήστε εντελώς την υπηρεσία WebClient ή ρυθμίστε την σε μη αυτόματη
5. Αποκλεισμός των θύρων TCP 445 και 139 όπως χρησιμοποιούνται περισσότερο για συμβιβασμούς υπολογιστών

Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις το σύστημα και το λογισμικό ασφάλειας. Η Microsoft

έχει κυκλοφορήσει ένα εργαλείο για να εμποδίσει τις επιθέσεις κατάχρησης φορτίου DLL. Αυτό το εργαλείο μετριάζει τον κίνδυνο απόπειρας πειρατείας DLL, εμποδίζοντας τις εφαρμογές να φορτώσουν ανασφαλείς κώδικα από αρχεία DLL.