DLL on lyhenne sanoista Dynamic Link Libraries ja ne ovat ^{(Dynamic Link Libraries)}Windowsissa^(Windows) tai missä tahansa muussa käyttöjärjestelmässä toimivien sovellusten ulkoisia osia . Useimmat sovellukset eivät ole täydellisiä itsessään ja tallentavat koodin eri tiedostoihin. Jos koodia tarvitaan, siihen liittyvä tiedosto ladataan muistiin ja käytetään. Tämä pienentää sovellustiedoston kokoa ja optimoi samalla RAM :n käytön . Tässä artikkelissa kerrotaan, mikä on DLL-kaappaus^{(DLL Hijacking)} ja kuinka se havaitaan ja estetään.

Mitä ovat DLL- tiedostot^(Files) tai dynaamiset linkkikirjastot^{(Dynamic Link Libraries)}

DLL - tiedostot ovat dynaamisia^{(Dynamic Link Libraries)} linkkikirjastoja ja kuten nimestä käy ilmi, ne ovat eri sovellusten laajennuksia. Kaikki käyttämämme sovellukset voivat käyttää tai olla käyttämättä tiettyjä koodeja. Tällaiset koodit tallennetaan eri tiedostoihin ja niitä kutsutaan tai ladataan RAM -muistiin vain, kun vastaava koodi vaaditaan. Siten se säästää sovellustiedostoa kasvamasta liian suureksi ja estää sovelluksen resurssien kerääntymisen.

DLL -tiedostojen polun määrittää Windows - käyttöjärjestelmä. Polku asetetaan käyttämällä Global Environmental Variables - muuttujia . Oletusarvoisesti, jos sovellus pyytää DLL -tiedostoa, käyttöjärjestelmä etsii samaan kansioon, johon sovellus on tallennettu. Jos sitä ei löydy sieltä, se siirtyy muihin kansioihin globaalien muuttujien asettamana. Polkuihin on liitetty prioriteetteja, ja se auttaa Windowsia määrittämään, mistä kansioista ^(Windows)DLL^(DLLs) -tiedostoja etsitään . Tässä tulee esiin DLL - kaappaus.

Mikä on DLL-kaappaus

Koska DLL^(DLLs) -tiedostot ovat laajennuksia ja välttämättömiä lähes kaikkien koneidesi sovellusten käyttämiselle, ne ovat tietokoneessa eri kansioissa, kuten on selitetty. Jos alkuperäinen DLL - tiedosto korvataan väärennetyllä DLL - tiedostolla, joka sisältää haitallista koodia, sitä kutsutaan DLL-kaappaukseksi^{(DLL Hijacking)} .

Kuten aiemmin mainittiin, on olemassa prioriteetteja sille, mistä käyttöjärjestelmä etsii DLL - tiedostoja. Ensin^(First) se tutkii samaan kansioon kuin sovelluskansio ja sitten tekee haun käyttöjärjestelmän ympäristömuuttujien asettamien prioriteettien perusteella. Jos siis hyvä.dll-tiedosto on SysWOW64- kansiossa^(SysWOW64) ja joku sijoittaa bad.dll-tiedoston kansioon, jolla on korkeampi prioriteetti kuin SysWOW64 - kansiossa, käyttöjärjestelmä käyttää bad.dll-tiedostoa, koska sillä on sama nimi kuin DLL :llä. hakemuksen pyytämä. Kun se on RAM -muistissa , se voi suorittaa tiedoston sisältämän haitallisen koodin ja saattaa vaarantaa tietokoneesi tai verkkosi.

Kuinka havaita DLL-kaappaus

Helpoin tapa havaita ja estää DLL -kaappaukset on käyttää kolmannen osapuolen työkaluja. Markkinoilla on saatavilla hyviä ilmaisia ​​työkaluja, jotka auttavat havaitsemaan DLL - hakkerointiyrityksen ja estämään sen.

Yksi tällainen ohjelma on DLL Hijack Auditor , mutta se tukee vain 32-bittisiä sovelluksia. Voit asentaa sen tietokoneellesi ja tarkistaa kaikki Windows-sovelluksesi nähdäksesi, mitkä sovellukset ovat alttiina DLL - kaappaukselle. Käyttöliittymä on yksinkertainen ja itsestään selvä. Tämän sovelluksen ainoa haittapuoli on, että et voi skannata 64-bittisiä sovelluksia.

Toinen ohjelma DLL - kaappauksen havaitsemiseksi,  DLL_HIJACK_DETECT, on saatavilla GitHubin^(GitHub) kautta . Tämä ohjelma tarkistaa sovellukset nähdäkseen, onko jokin niistä alttiina DLL - kaappaukselle. Jos on, ohjelma ilmoittaa asiasta käyttäjälle. Sovelluksella on kaksi versiota – x86 ja x64 , joten voit käyttää kumpaakin 32- ja 64-bittisten sovellusten skannaukseen.

On huomattava, että yllä olevat ohjelmat vain tarkistavat Windows - alustalla olevia sovelluksia haavoittuvuuksien varalta eivätkä varsinaisesti estä DLL - tiedostojen kaappausta.

Kuinka estää DLL-kaappaus

Ohjelmoijien tulisi ensin puuttua ongelmaan, koska et voi tehdä paljon muuta kuin parantaa turvajärjestelmiäsi. Jos ohjelmoijat alkavat käyttää absoluuttista polkua suhteellisen polun sijaan, haavoittuvuus pienenee. Absoluuttista polkua lukiessa Windows tai mikään muu käyttöjärjestelmä ei riipu polun järjestelmämuuttujista ja siirtyy suoraan tarkoitettuun DLL -tiedostoon , mikä sulkee pois mahdollisuuden ladata samanniminen DLL korkeamman prioriteetin polulla. Tämäkään menetelmä ei ole varma, koska jos järjestelmä vaarantuu ja verkkorikolliset tietävät DLL:n tarkan polun ,^(DLL) he korvaavat alkuperäisen DLL :n väärennetyllä DLL :llä.^(DLL). Tämä merkitsisi tiedoston päällekirjoittamista niin, että alkuperäinen DLL muutetaan haitalliseksi koodiksi. Mutta jälleen kerran, kyberrikollisen on tiedettävä tarkka absoluuttinen polku, joka mainitaan DLL :ää vaativassa sovelluksessa . Prosessi on vaikea kyberrikollisille, ja siksi siihen voidaan luottaa.

Palatakseni siihen, mitä voit tehdä, yritä vain skaalata suojajärjestelmiäsi suojataksesi Windows-järjestelmäsi^{(secure your Windows system)} paremmin . Käytä hyvää palomuuria^(firewall) . Jos mahdollista, käytä laitteistopalomuuria tai ota reitittimen palomuuri käyttöön. Käytä hyviä tunkeutumisen havaitsemisjärjestelmiä, jotta tiedät, yrittääkö joku leikkiä tietokoneellasi.

Jos olet kiinnostunut tietokoneiden vianmäärityksestä, voit myös suorittaa seuraavat toimet turvallisuuden parantamiseksi:

1. Poista DLL -lataus käytöstä verkon etäosuuksista
2. Poista DLL - tiedostojen lataaminen WebDAVista^(WebDAV)
3. Poista WebClient -palvelu kokonaan käytöstä tai aseta se manuaaliseksi
4. Estä ^(Block)TCP - portit 445 ja 139, koska niitä käytetään eniten tietokoneiden vaarantamiseen
5. Asenna uusimmat päivitykset käyttöjärjestelmään ja tietoturvaohjelmistoon.

Microsoft on julkaissut työkalun, joka estää DLL - latauskaappaushyökkäykset. Tämä työkalu vähentää DLL - kaappaushyökkäysten riskiä estämällä sovelluksia lataamasta koodia epäturvallisesti DLL - tiedostoista.

Jos haluat lisätä artikkeliin jotain, kommentoi alle.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Librarіes and аre external parts of applications that run on Windows or any other operating system. Most aрplications are not complete in themselves аnd stоre code in different files. If there is a need for the code, the related file is loaded into memory and used. This reduces application file sіze while optimizing the uѕage of RAM. This article еxplains whаt iѕ DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Mikä on etäkäytön troijalainen? Ennaltaehkäisy, havaitseminen ja poistaminen

• Tiedostottomat haittaohjelmahyökkäykset, suojaus ja havaitseminen

• Kuinka välttää tietojenkalasteluhuijaukset ja -hyökkäykset?

• Kyberhyökkäykset – määritelmä, tyypit, ehkäisy

• Selaimen kaappaus ja ilmaiset selaimen kaappaajan poistotyökalut

• Kuinka tarkistaa, onko tiedosto haitallinen vai ei Windows 11/10:ssä

• Etähallintatyökalut: riskit, uhat, ennaltaehkäisy

• Tarkista, onko tietokoneesi saastunut ASUS Update -haittaohjelmasta

• Kuinka saat tietokoneviruksen, troijalaisen, työpaikan, vakoiluohjelman tai haittaohjelman?

• Kuinka käyttää Malwarebytes Anti-Malwarea haittaohjelmien poistamiseen

• Poista virus USB-muistitikulta komentokehotteen tai erätiedoston avulla

• Mitä Living Off The Land -hyökkäykset ovat? Kuinka pysyä turvassa?

• Microsoft Windows -logoprosessi Task Managerissa; Onko se virus?

• Mikä on IDP.Generic ja kuinka se poistetaan turvallisesti Windowsista?

• Rogue Security Software tai Scareware: Kuinka tarkistaa, estää, poistaa?

• Mahdollisesti ei-toivotut ohjelmat tai sovellukset; Vältä PUP/PUA:n asentamista

• Kuinka poistaa Chromium Virus Windows 11/10:stä

• DDoS:n hajautetut palvelunestohyökkäykset: suojaus, ehkäisy

• Kuinka poistaa tai poistaa Driver Tonic Windows 10:stä

• Kuinka tarkistaa rekisteri haittaohjelmien varalta Windows 11/10:ssä