Напади, спречавање и откривање отмице ДЛЛ отмице

ДЛЛ је скраћеница од Динамиц Линк Либрариес и спољни су делови апликација које се покрећу под Виндовсом или било којим другим оперативним системом. Већина апликација саме по себи нису комплетне и код чувају у различитим датотекама. Ако постоји потреба за кодом, сродна датотека се учитава у меморију и користи. Ово смањује величину датотеке апликације, истовремено оптимизујући употребу РАМ-а. Овај чланак објашњава шта је Отмица ДЛЛ-а и како то открити и спречити.

Шта су ДЛЛ датотеке или библиотеке динамичких веза

ДЛЛ датотеке су Динамиц Линк Либрариес и као што се види из назива, представљају екстензије различитих апликација. Било која апликација коју користимо може или не мора користити одређене кодове. Такви кодови се чувају у различитим датотекама и позивају се или учитавају у РАМ само када је потребан сродни код. Дакле, он штеди датотеку апликације да не постане превелика и спречава да апликација премешта ресурсе.

Стазу за ДЛЛ датотеке поставља оперативни систем Виндовс. Пут се поставља помоћу глобалних променљивих животне средине. Ако апликација подразумевано захтева ДЛЛ датотеку, оперативни систем гледа у исту фасциклу у којој је апликација смештена. Ако се тамо не нађе, прелази у друге фасцикле постављене глобалним променљивим. За путање су везани приоритети и помаже Виндовс-у при одређивању које фасцикле ће тражити ДЛЛ-ове. Овде долази до отмице ДЛЛ-а.

Шта је ДЛЛ отмица

Будући да су ДЛЛ-ови проширења и неопходни за коришћење готово свих апликација на вашим машинама, они су присутни на рачунару у различитим директоријумима како је објашњено. Ако се оригинална ДЛЛ датотека замени лажном ДЛЛ датотеком која садржи злонамерни код, позната је као Отмица ДЛЛ-а.

Као што је раније поменуто, постоје приоритети где оперативни систем тражи ДЛЛ датотеке. Прво гледа у исти директоријум као и директоријум апликације, а затим креће у претрагу, на основу приоритета постављених променљивом окружења оперативног система. Тако ако је добро.длл датотека налази се у директоријуму СисВОВ64 и неко поставља лоше.длл у директоријуму који има већи приоритет у поређењу са директоријумом СисВОВ64, оперативни систем ће користити лоше.длл датотеку, јер има исто име као и ДЛЛ који захтева апликација. Једном у РАМ-у може извршити злонамерни код садржан у датотеци и може угрозити ваш рачунар или мреже.

Како открити отмицу ДЛЛ-а

Најлакши начин за откривање и спречавање отмице ДЛЛ-а је коришћење независних алата. На тржишту су доступни добри бесплатни алати који помажу у откривању покушаја хаковања ДЛЛ-а и спречавању.

Један од таквих програма је ДЛЛ Хијацк Аудитор, али подржава само 32-битне апликације. Можете га инсталирати на рачунар и скенирати све Виндовс програме да бисте видели које су све апликације осетљиве на отмицу ДЛЛ-а. Сучеље је једноставно и само по себи разумљиво. Једини недостатак ове апликације је што не можете скенирати 64-битне апликације.

Други програм за откривање отмице ДЛЛ-а, ДЛЛ_ХИЈАЦК_ДЕТЕЦТ, доступан је путем ГитХуб-а. Овај програм проверава апликације да ли је било која од њих рањива на отмицу ДЛЛ-а. Ако јесте, програм обавештава корисника. Апликација има две верзије - к86 и к64, тако да сваку можете користити за скенирање и 32-битне и 64-битне апликације.

Треба напоменути да горе наведени програми само скенирају апликације на Виндовс платформи ради рањивости и заправо не спречавају отмицу ДЛЛ датотека.

Како спречити отмицу ДЛЛ-а

Тим проблемом би се прво требали позабавити програмери, јер не можете много учинити осим да побољшате своје сигурносне системе. Ако уместо релативне путање програмери почну да користе апсолутну путању, рањивост ће се смањити. Читање апсолутне путање, Виндовс или било који други оперативни систем неће зависити од системских променљивих за путању и ићи ће право према предвиђеном ДЛЛ-у, чиме се одбацују шансе за учитавање истог назива ДЛЛ-а у путању са већим приоритетом. Ни овај метод није отпоран на грешке, јер ако је систем компромитован и цибер криминалци знају тачан пут ДЛЛ-а, замениће оригинални ДЛЛ лажним ДЛЛ-ом. То би заменило датотеку тако да се оригинални ДЛЛ промени у злонамерни код. Али опет, цибер криминалац ће морати да зна тачан апсолутни пут наведен у апликацији која захтева ДЛЛ. Процес је тежак за сајбер криминалце и на њега се може рачунати.

Враћајући се на оно што можете, само покушајте да увећате своје безбедносне системе како бисте боље заштитили свој Виндовс систем. Користите добар заштитни зид. Ако је могуће, користите хардверски заштитни зид или укључите заштитни зид рутера. Користите добре системе за откривање упада како бисте знали да ли неко покушава да се игра са вашим рачунаром.

Ако се бавите решавањем проблема са рачунарима, можете такође да извршите следеће да бисте побољшали безбедност:

1. Онемогућите учитавање ДЛЛ-а са удаљених мрежних деоница
2. Онемогућите учитавање ДЛЛ датотека из ВебДАВ-а
3. У потпуности онемогућите услугу ВебЦлиент или је подесите на ручну
4. Блокирајте ТЦП портове 445 и 139 јер се највише користе за компромитовање рачунара
5. Инсталирајте најновија ажурирања оперативног система и сигурносног софтвера.

Мицрософт је објавио алат за блокирање напада отмице ДЛЛ оптерећења. Овај алат умањује ризик од напада отмице ДЛЛ-а спречавајући да апликације несигурно учитавају код из ДЛЛ датотека.

Ако желите да додате било шта чланку, молимо вас да коментаришете у наставку.