DLL Hijacking Vulnerability Attacks, Prevention & Detection

Ang DLL ay kumakatawan sa Dynamic Link Libraries at ang mga panlabas na bahagi ng mga application na tumatakbo sa Windows o anumang iba pang mga operating system. Karamihan sa mga application ay hindi kumpleto sa kanilang sarili at nag-iimbak ng code sa iba`t ibang mga file. Kung may kailangan para sa code, ang kaugnay na file ay ikinakarga sa memorya at ginamit. Binabawasan nito ang laki ng file ng application habang ini-optimize ang paggamit ng RAM. Ang artikulong ito ay nagpapaliwanag kung ano ang DLL Hijacking at kung paano matukoy at maiwasan ito.

Ano ang mga DLL File o Dynamic Link Libraries

Mga DLL file ay Dynamic Link Libraries at bilang maliwanag sa pamamagitan ng pangalan, ang mga extension ng iba`t ibang mga application. Ang anumang application na ginagamit namin ay maaaring o hindi maaaring gumamit ng ilang mga code. Ang ganitong mga code ay naka-imbak sa iba`t ibang mga file at ang mga tawag o load sa RAM lamang kapag ang mga kaugnay na code ay kinakailangan. Sa gayon, ini-imbak ang isang application file mula sa pagiging masyadong malaki at upang maiwasan ang mapagkukunan hogging sa pamamagitan ng application.

Ang landas para sa mga file na DLL ay itinakda ng Windows operating system. Ang landas ay naka-set gamit ang Global Environmental Variables. Bilang default, kung ang isang application ay humiling ng isang DLL file, ang operating system ay tumitingin sa parehong folder kung saan ang application ay naka-imbak. Kung hindi ito matatagpuan doon, ito ay papunta sa iba pang mga folder na itinakda ng mga pandaigdigang variable. May mga prayoridad na naka-attach sa mga path at tinutulungan nito ang Windows sa pagtukoy kung ano ang mga folder upang hanapin ang mga DLL. Ito ay kung saan ang pag-hijack ng DLL ay pumasok.

Ano ang DLL Hijacking

Dahil ang mga DLL ay mga extension at kinakailangan upang gamitin ang halos lahat ng mga application sa iyong mga machine, nasa kasalukuyan sila sa computer sa iba`t ibang mga folder gaya ng ipinaliwanag. Kung ang orihinal na file na DLL ay pinalitan ng isang pekeng DLL file na naglalaman ng malisyosong code, ito ay kilala bilang DLL Hijacking.

Tulad ng nabanggit mas maaga, may mga prayoridad kung saan hinahanap ng operating system para sa DLL file. Una, tinitingnan nito ang parehong folder bilang folder ng application at pagkatapos ay lumipat sa paghahanap, batay sa mga priyoridad na itinakda ng mga variable ng kapaligiran ng operating system. Kaya kung ang isang good.dll file ay nasa SysWOW64 folder at isang tao ang naglalagay ng isang bad.dll sa isang folder na may mas mataas na prayoridad kumpara sa SysWOW64 folder, ang operating system ay gagamit ng bad.dll file, dahil mayroon itong parehong pangalan bilang DLL hiniling ng application. Sa sandaling nasa RAM, maaari itong isagawa ang malisyosong code na nakapaloob sa file at maaaring ikompromiso ang iyong computer o network.

Paano upang makita ang DLL Hijacking

Ang pinakamadaling paraan upang makita at maiwasan ang pag-hijack ng DLL ay ang paggamit ng mga tool ng third-party. Mayroong ilang mga mahusay na libreng mga tool na magagamit sa merkado na tumutulong sa tiktik ng pagtatangka ng pag-hack ng DLL at maiwasan ito.

Ang isang ganoong program ay DLL Hijack Auditor ngunit sinusuportahan lamang nito ang 32-bit na mga application. Maaari mong i-install ito sa iyong computer at i-scan ang lahat ng iyong mga application sa Windows upang makita kung ano ang lahat ng mga application ay maaaring masugatan sa pag-hijack ng DLL. Ang interface ay simple at maliwanag. Ang tanging disbentaha ng application na ito ay hindi mo ma-scan ang mga application na 64-bit.

Ang isa pang programa, upang makita ang pag-hijack ng DLL, DLL_HIJACK_DETECT, ay magagamit sa pamamagitan ng GitHub. Sinusuri ng programang ito ang mga application upang makita kung alin sa mga ito ay mahina laban sa pag-hijack ng DLL. Kung ito ay, ang programa ay nagpapaalam sa gumagamit. Ang application ay may dalawang bersyon - x86 at x64 upang maaari mong gamitin ang bawat isa upang i-scan ang parehong 32 bit at 64 bit na application ayon sa pagkakabanggit.

Dapat tandaan na ang mga programang nasa itaas ay i-scan lamang ang mga application sa Windows platform para sa mga kahinaan at hindi talaga maiwasan ang pag-hijack ng mga DLL file.

Paano upang maiwasan ang DLL Hijacking

Ang isyu ay dapat na tackled sa pamamagitan ng mga programmers sa unang lugar dahil walang magagawa mo maliban sa karne ng baka ang iyong mga sistema ng seguridad. Kung, sa halip ng isang kamag-anak na landas, ang mga programmer ay nagsimulang gumamit ng ganap na landas, ang kahinaan ay mababawasan. Ang pagbasa sa ganap na landas, ang Windows o anumang iba pang operating system ay hindi nakasalalay sa mga variable ng system para sa landas at pupunta nang diretso para sa nilalayon na DLL, sa gayo`y binabalewala ang mga pagkakataon na mailargain ang parehong pangalan DLL sa isang mas mataas na path ng priority. Ang pamamaraan na ito ay masyadong, ay hindi nabigo-patunay dahil kung ang sistema ay nakompromiso, at alam ng mga cybercriminal ang eksaktong landas ng DLL, palitan nila ang orihinal na DLL gamit ang pekeng DLL. Iyon ay mapapatungan ang file upang ang orihinal na DLL ay mabago sa malisyosong code. Ngunit muli, ang cybercriminal ay kailangang malaman ang eksaktong absolute path na binanggit sa application na tumatawag para sa DLL. Ang proseso ay mahihigpit para sa cybercriminals at kaya maaaring mabilang.

Bumalik sa kung ano ang maaari mong gawin, subukan lamang upang palakasin ang iyong mga sistema ng seguridad upang mas mahusay na secure ang iyong Windows system. Gumamit ng isang mahusay na firewall. Kung maaari, gumamit ng hardware firewall o i-on ang router firewall. Gumamit ng mga sistema ng pagtuklas ng mahusay na panghihimasok upang malaman mo kung sinuman ay nagsisikap na makipaglaro sa iyong computer.

Kung ikaw ay nasa mga pag-troubleshoot ng mga computer, maaari mo ring isagawa ang mga sumusunod sa iyong seguridad:

1. Huwag paganahin ang pag-load ng DLL mula sa mga remote na pagbabahagi ng network
2. Huwag paganahin ang paglo-load ng mga file ng DLL mula sa WebDAV
3. Huwag paganahin ang ganap na serbisyo ng WebClient o i-set ito sa mano-manong
4. I-block ang mga port ng TCP 445 at 139 habang ginagamit ang mga ito para sa pag-kompromiso sa mga computer
5. sistema at software ng seguridad.

Microsoft ay naglabas ng tool upang harangan ang pag-atake ng pag-hijack ng pag-load ng DLL. Ang tool na ito ay nagbabawas sa panganib ng mga pag-atake ng pag-hijack ng DLL sa pamamagitan ng pag-iwas sa mga application mula sa insecurely loading code mula sa mga file na DLL.

Kung nais mong magdagdag ng anumang bagay sa artikulo, mangyaring magkomento sa ibaba