Το DLL^(DLL) σημαίνει Βιβλιοθήκες Dynamic Link^{(Dynamic Link Libraries)} και είναι εξωτερικά μέρη εφαρμογών που εκτελούνται σε Windows ή σε οποιοδήποτε άλλο λειτουργικό σύστημα. Οι περισσότερες εφαρμογές δεν είναι ολοκληρωμένες από μόνες τους και αποθηκεύουν τον κώδικα σε διαφορετικά αρχεία. Εάν υπάρχει ανάγκη για τον κώδικα, το σχετικό αρχείο φορτώνεται στη μνήμη και χρησιμοποιείται. Αυτό μειώνει το μέγεθος του αρχείου της εφαρμογής ενώ βελτιστοποιεί τη χρήση της μνήμης RAM^(RAM) . Αυτό το άρθρο εξηγεί τι είναι το DLL Hijacking και πώς να το εντοπίσετε και να το αποτρέψετε.

Τι είναι τα αρχεία^(Files) DLL ή οι βιβλιοθήκες δυναμικής σύνδεσης^{(Dynamic Link Libraries)}

Τα αρχεία DLL^(DLL) είναι Βιβλιοθήκες Dynamic Link^{(Dynamic Link Libraries)} και όπως φαίνεται από το όνομα, είναι προεκτάσεις διαφορετικών εφαρμογών. Οποιαδήποτε εφαρμογή χρησιμοποιούμε μπορεί να χρησιμοποιεί ή όχι συγκεκριμένους κωδικούς. Τέτοιοι κωδικοί αποθηκεύονται σε διαφορετικά αρχεία και καλούνται ή φορτώνονται στη μνήμη RAM^(RAM) μόνο όταν απαιτείται ο σχετικός κώδικας. Έτσι, σώζει ένα αρχείο εφαρμογής από το να γίνει πολύ μεγάλο και να αποτρέψει την παραβίαση πόρων από την εφαρμογή.

Η διαδρομή για τα αρχεία DLL ορίζεται από το λειτουργικό σύστημα Windows . Η διαδρομή ορίζεται χρησιμοποιώντας τις καθολικές μεταβλητές περιβάλλοντος^{(Global Environmental Variables)} . Από προεπιλογή, εάν μια εφαρμογή ζητήσει ένα αρχείο DLL , το λειτουργικό σύστημα κοιτάζει στον ίδιο φάκελο στον οποίο είναι αποθηκευμένη η εφαρμογή. Εάν δεν βρεθεί εκεί, πηγαίνει σε άλλους φακέλους όπως ορίζεται από τις καθολικές μεταβλητές. Υπάρχουν προτεραιότητες που συνδέονται με διαδρομές και βοηθά τα Windows^(Windows) να προσδιορίσουν ποιους φακέλους θα αναζητήσουν τα DLL^(DLLs) . Εδώ μπαίνει η πειρατεία DLL .

Τι είναι το DLL Hijacking

Δεδομένου ότι τα DLL^(DLLs) είναι επεκτάσεις και είναι απαραίτητα για τη χρήση σχεδόν όλων των εφαρμογών στους υπολογιστές σας, υπάρχουν στον υπολογιστή σε διαφορετικούς φακέλους, όπως εξηγείται. Εάν το αρχικό αρχείο DLL αντικατασταθεί με ένα ψεύτικο αρχείο DLL που περιέχει κακόβουλο κώδικα, είναι γνωστό ως DLL Hijacking .

Όπως αναφέρθηκε προηγουμένως, υπάρχουν προτεραιότητες ως προς το πού αναζητά αρχεία DLL το λειτουργικό σύστημα . Αρχικά^(First) , κοιτάζει στον ίδιο φάκελο με τον φάκελο της εφαρμογής και, στη συνέχεια, πραγματοποιεί αναζήτηση, με βάση τις προτεραιότητες που ορίζονται από τις μεταβλητές περιβάλλοντος του λειτουργικού συστήματος. Επομένως, εάν ένα αρχείο good.dll βρίσκεται στον φάκελο SysWOW64 και κάποιος τοποθετήσει ένα bad.dll σε έναν φάκελο που έχει μεγαλύτερη προτεραιότητα σε σύγκριση με το φάκελο SysWOW64 , το λειτουργικό σύστημα θα χρησιμοποιήσει το αρχείο bad.dll, καθώς έχει το ίδιο όνομα με το αρχείο DLL^(DLL) ζητείται από την αίτηση. Μόλις μπει στη μνήμη RAM^(RAM) , μπορεί να εκτελέσει τον κακόβουλο κώδικα που περιέχεται στο αρχείο και μπορεί να θέσει σε κίνδυνο τον υπολογιστή ή τα δίκτυά σας.

Πώς να εντοπίσετε την παραβίαση DLL

Η ευκολότερη μέθοδος για τον εντοπισμό και την αποτροπή της πειρατείας DLL είναι η χρήση εργαλείων τρίτων. Υπάρχουν μερικά καλά δωρεάν εργαλεία διαθέσιμα στην αγορά που βοηθούν στον εντοπισμό μιας προσπάθειας χακαρίσματος DLL και στην αποτροπή της.

Ένα τέτοιο πρόγραμμα είναι το DLL Hijack Auditor αλλά υποστηρίζει μόνο εφαρμογές 32 bit. Μπορείτε να το εγκαταστήσετε στον υπολογιστή σας και να σαρώσετε όλες τις εφαρμογές των Windows για να δείτε ποιες είναι όλες οι εφαρμογές ευάλωτες στην παραβίαση DLL . Η διεπαφή είναι απλή και αυτονόητη. Το μόνο μειονέκτημα αυτής της εφαρμογής είναι ότι δεν μπορείτε να σαρώσετε εφαρμογές 64-bit.

Ένα άλλο πρόγραμμα, για τον εντοπισμό παραβίασης DLL ,  το DLL_HIJACK_DETECT,^{(DLL_HIJACK_DETECT,)} είναι διαθέσιμο μέσω του GitHub . Αυτό το πρόγραμμα ελέγχει τις εφαρμογές για να δει εάν κάποια από αυτές είναι ευάλωτη σε παραβίαση DLL^(DLL) . Εάν είναι, το πρόγραμμα ενημερώνει τον χρήστη. Η εφαρμογή έχει δύο εκδόσεις – x86 και x64 , ώστε να μπορείτε να τη χρησιμοποιήσετε για να σαρώσετε εφαρμογές 32 bit και 64 bit αντίστοιχα.

Θα πρέπει να σημειωθεί ότι τα παραπάνω προγράμματα απλώς σαρώνουν τις εφαρμογές στην πλατφόρμα των Windows για ^(Windows)ευπάθειες και στην πραγματικότητα δεν αποτρέπουν την παραβίαση αρχείων DLL .

Πώς να αποτρέψετε την παραβίαση DLL

Το ζήτημα θα πρέπει να αντιμετωπιστεί από τους προγραμματιστές καταρχάς, καθώς δεν μπορείτε να κάνετε πολλά παρά μόνο να ενισχύσετε τα συστήματα ασφαλείας σας. Εάν αντί για μια σχετική διαδρομή, οι προγραμματιστές αρχίσουν να χρησιμοποιούν μια απόλυτη διαδρομή, η ευπάθεια θα μειωθεί. Η ανάγνωση της απόλυτης διαδρομής, τα Windows ή οποιοδήποτε άλλο λειτουργικό σύστημα δεν θα εξαρτώνται από τις μεταβλητές του συστήματος για τη διαδρομή και θα πάει κατευθείαν για το προβλεπόμενο DLL , αποκλείοντας έτσι τις πιθανότητες φόρτωσης του ίδιου ονόματος DLL σε μια διαδρομή υψηλότερης προτεραιότητας. Αυτή η μέθοδος επίσης, δεν είναι ασφαλής για αστοχίες, επειδή εάν το σύστημα παραβιαστεί και οι εγκληματίες του κυβερνοχώρου γνωρίζουν την ακριβή διαδρομή του DLL , θα αντικαταστήσουν το αρχικό DLL με το ψεύτικο DLL. Αυτό θα ήταν η αντικατάσταση του αρχείου έτσι ώστε το αρχικό DLL να μετατραπεί σε κακόβουλο κώδικα. Αλλά και πάλι, ο κυβερνοεγκληματίας θα πρέπει να γνωρίζει την ακριβή απόλυτη διαδρομή που αναφέρεται στην εφαρμογή που ζητά το DLL . Η διαδικασία είναι δύσκολη για τους εγκληματίες του κυβερνοχώρου και ως εκ τούτου μπορεί να υπολογίζεται.

Επιστρέφοντας στο τι μπορείτε να κάνετε, απλώς προσπαθήστε να κλιμακώσετε τα συστήματα ασφαλείας σας για να ασφαλίσετε καλύτερα το σύστημά σας των Windows^{(secure your Windows system)} . Χρησιμοποιήστε ένα καλό τείχος προστασίας^(firewall) . Εάν είναι δυνατόν, χρησιμοποιήστε ένα τείχος προστασίας υλικού ή ενεργοποιήστε το τείχος προστασίας του δρομολογητή. Χρησιμοποιήστε καλά συστήματα ανίχνευσης εισβολής, ώστε να γνωρίζετε εάν κάποιος προσπαθεί να παίξει με τον υπολογιστή σας.

Εάν ασχολείστε με την αντιμετώπιση προβλημάτων υπολογιστών, μπορείτε επίσης να εκτελέσετε τα ακόλουθα για να βελτιώσετε την ασφάλειά σας:

1. Απενεργοποιήστε τη φόρτωση DLL από απομακρυσμένα κοινόχρηστα στοιχεία δικτύου
2. Απενεργοποιήστε τη φόρτωση αρχείων DLL από το WebDAV
3. Απενεργοποιήστε πλήρως την υπηρεσία WebClient ή ρυθμίστε την σε μη αυτόματο
4. Αποκλεισμός^(Block) των θυρών TCP 445 και 139 καθώς χρησιμοποιούνται περισσότερο για παραβιασμούς υπολογιστών
5. Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις για το λειτουργικό σύστημα και το λογισμικό ασφαλείας.

Η Microsoft^(Microsoft) κυκλοφόρησε ένα εργαλείο για τον αποκλεισμό επιθέσεων πειρατείας φορτίου DLL . Αυτό το εργαλείο μετριάζει τον κίνδυνο επιθέσεων πειρατείας DLL αποτρέποντας τις εφαρμογές από το να φορτώνουν με ανασφάλεια κώδικα από αρχεία DLL .

Αν θέλετε να προσθέσετε κάτι στο άρθρο, παρακαλώ σχολιάστε παρακάτω.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Lіnk Libraries and are external parts of applications that run on Windows or any othеr operating system. Most appliсations arе not complete in themselves and store code in different files. If there iѕ a need for the code, the related file is loaded into memory and used. This reduces application file size while optimizing the usage of RAM. This article explains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Τι είναι το Remote Access Trojan; Πρόληψη, Ανίχνευση & Αφαίρεση

• Επιθέσεις, προστασία και ανίχνευση κακόβουλου λογισμικού χωρίς αρχεία

• Πώς να αποφύγετε τις απάτες και τις επιθέσεις phishing;

• Κυβερνοεπιθέσεις - Ορισμός, Τύποι, Πρόληψη

• Εισβολή προγράμματος περιήγησης και δωρεάν εργαλεία αφαίρεσης του αεροπειρατή προγράμματος περιήγησης

• Τι είναι ο ιός IDP.generic και πώς να τον αφαιρέσετε;

• Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας στα Windows 10

• Δωρεάν Εργαλεία αφαίρεσης κακόβουλου λογισμικού για την αφαίρεση συγκεκριμένου ιού στα Windows 11/10

• Επιθέσεις κακόβουλης διαφήμισης: Ορισμός, παραδείγματα, προστασία, ασφάλεια

• Επιθέσεις DDoS Distributed Denial of Service: Προστασία, Πρόληψη

• Αφαιρέστε τον ιό από τη μονάδα flash USB χρησιμοποιώντας τη γραμμή εντολών ή το αρχείο δέσμης

• Το καλύτερο δωρεάν λογισμικό αφαίρεσης λογισμικού κατασκοπείας και κακόβουλου λογισμικού

• Πώς αναγνωρίζει η Microsoft κακόβουλο λογισμικό και δυνητικά ανεπιθύμητες εφαρμογές

• Τι είναι το έγκλημα στον κυβερνοχώρο; Πώς να το αντιμετωπίσετε;

• Το Crystal Security είναι ένα δωρεάν εργαλείο ανίχνευσης κακόβουλου λογισμικού που βασίζεται στο Cloud για υπολογιστή

• Πώς να αφαιρέσετε το Chromium Virus από τα Windows 11/10

• Πώς να αφαιρέσετε τον ιό από τα Windows 11/10. Οδηγός αφαίρεσης κακόβουλου λογισμικού

• Τι είναι το CandyOpen; Πώς να αφαιρέσετε το CandyOpen από τα Windows 10;

• Αποτρέψτε τις λήψεις Drive-by και τις σχετικές επιθέσεις κακόβουλου λογισμικού

• Διορθώστε το σφάλμα αναζήτησης που απέτυχε κατά την εκτέλεση του Chrome Malware Scanner