ДЛЛ^(DLL) је скраћеница од Динамиц Линк Либрариес^{(Dynamic Link Libraries)} и спољни су делови апликација које раде на Виндовс^(Windows) -у или било ком другом оперативном систему. Већина апликација није потпуна сама по себи и чува код у различитим датотекама. Ако постоји потреба за кодом, повезана датотека се учитава у меморију и користи. Ово смањује величину датотеке апликације уз оптимизацију коришћења РАМ-а^(RAM) . Овај чланак објашњава шта је ДЛЛ отмица^{(DLL Hijacking)} и како је открити и спречити.

Шта су ДЛЛ датотеке^(Files) или библиотеке динамичких веза^{(Dynamic Link Libraries)}

ДЛЛ^(DLL) датотеке су библиотеке динамичких веза^{(Dynamic Link Libraries)} и као што је видљиво из имена, екстензије су различитих апликација. Свака апликација коју користимо може или не мора да користи одређене кодове. Такви кодови се чувају у различитим датотекама и позивају се или учитавају у РАМ^(RAM) само када је потребан одговарајући код. На тај начин чува датотеку апликације од тога да постане превелика и да спречи коришћење ресурса од стране апликације.

Путања за ДЛЛ^(DLL) датотеке поставља оперативни систем Виндовс . ^(Windows)Путања је постављена коришћењем глобалних варијабли животне средине^{(Global Environmental Variables)} . Подразумевано, ако апликација захтева ДЛЛ^(DLL) датотеку, оперативни систем гледа у исту фасциклу у којој је апликација ускладиштена. Ако се тамо не пронађе, иде у друге фасцикле како су постављене глобалним променљивим. Постоје приоритети везани за путање и то помаже Виндовс^(Windows) - у да одреди у којим фасциклама ће тражити ДЛЛ^(DLLs) датотеке . Овде долази до отмица ДЛЛ -а.^(DLL)

Шта је ДЛЛ отмица

Пошто су ДЛЛ^(DLLs) датотеке екстензије и неопходне за коришћење скоро свих апликација на вашим машинама, оне су присутне на рачунару у различитим фасциклама као што је објашњено. Ако се оригинална ДЛЛ^(DLL) датотека замени лажном ДЛЛ^(DLL) датотеком која садржи злонамерни код, позната је као ДЛЛ отмица^{(DLL Hijacking)} .

Као што је раније поменуто, постоје приоритети у погледу тога где оперативни систем тражи ДЛЛ^(DLL) датотеке. Прво^(First) гледа у исту фасциклу као и фасциклу апликације, а затим креће у претрагу, на основу приоритета које постављају променљиве окружења оперативног система. Дакле, ако је гоод.длл датотека у СисВОВ64^(SysWOW64) фасцикли и неко постави бад.длл у фасциклу која има већи приоритет у односу на СисВОВ64^(SysWOW64) фасциклу, оперативни систем ће користити бад.длл датотеку, јер има исто име као ДЛЛ^(DLL) захтева апликација. Једном у РАМ-^(RAM) у , може да изврши злонамерни код садржан у датотеци и може да угрози ваш рачунар или мреже.

Како открити отмицу ДЛЛ-а

Најлакши метод за откривање и спречавање отмице ДЛЛ^(DLL) -а је коришћење алата треће стране. Постоје неки добри бесплатни алати доступни на тржишту који помажу у откривању покушаја ДЛЛ^(DLL) хаковања и спречавању истог.

Један такав програм је ДЛЛ Хијацк Аудитор^{(DLL Hijack Auditor)} , али подржава само 32-битне апликације. Можете га инсталирати на рачунар и скенирати све своје Виндовс апликације да видите које су све апликације рањиве на отмицу ДЛЛ -а. ^(DLL)Интерфејс је једноставан и разумљив сам по себи. Једини недостатак ове апликације је што не можете скенирати 64-битне апликације.

Други програм, за откривање отмице  ДЛЛ -а, ^(DLL)ДЛЛ_ХИЈАЦК_ДЕТЕЦТ,^{(DLL_HIJACK_DETECT,)} доступан је преко ГитХуб-^(GitHub) а . Овај програм проверава апликације да види да ли је нека од њих рањива на отмицу ДЛЛ -а. ^(DLL)Ако јесте, програм обавештава корисника. Апликација има две верзије – к86 и к64^(x64) , тако да сваку можете да користите за скенирање и 32-битних и 64-битних апликација.

Треба напоменути да горенаведени програми само скенирају апликације на Виндовс^(Windows) платформи у потрази за рањивостима и заправо не спречавају отмицу ДЛЛ^(DLL) датотека.

Како спречити отмицу ДЛЛ-а

Овим питањем би требало да се позабаве програмери на првом месту јер не можете много да урадите осим да побољшате своје безбедносне системе. Ако уместо релативне путање, програмери почну да користе апсолутну путању, рањивост ће бити смањена. Читање апсолутне путање, Виндовс^(Windows) или било који други оперативни систем неће зависити од системских променљивих за путању и ићи ће право на предвиђени ДЛЛ , чиме се одбацују шансе за учитавање ^(DLL)ДЛЛ^(DLL) истог имена на путањи вишег приоритета. Овај метод такође није отпоран на грешке јер ако је систем компромитован, а сајбер криминалци знају тачну путању ДЛЛ^(DLL) - а, они ће заменити оригинални ДЛЛ^(DLL) лажним ДЛЛ -ом^(DLL). То би било преписивање датотеке тако да се оригинални ДЛЛ^(DLL) промени у злонамерни код. Али опет, сајбер криминалац ће морати да зна тачну апсолутну путању поменуту у апликацији која захтева ДЛЛ^(DLL) . Процес је тежак за сајбер криминалце и стога се на њега може рачунати.

Враћајући се на оно што можете да урадите, само покушајте да повећате своје безбедносне системе да бисте боље заштитили свој Виндовс систем^{(secure your Windows system)} . Користите добар заштитни зид^(firewall) . Ако је могуће, користите хардверски заштитни зид или укључите заштитни зид рутера. Користите добре системе за откривање упада како бисте знали да ли неко покушава да се игра са вашим рачунаром.

Ако волите да решавате проблеме са рачунарима, можете да урадите и следеће да бисте повећали своју безбедност:

1. Онемогућите учитавање ДЛЛ^(DLL) -а са удаљених мрежних дељења
2. Онемогућите учитавање ДЛЛ^(DLL) датотека са ВебДАВ -а^(WebDAV)
3. Потпуно онемогућите услугу ВебЦлиент^(WebClient) или је поставите на ручну
4. Блокирајте ^(Block)ТЦП^(TCP) портове 445 и 139 јер се највише користе за компромитовање рачунара
5. Инсталирајте најновије исправке за оперативни систем и безбедносни софтвер.

Мицрософт^(Microsoft) је објавио алат за блокирање напада отмице учитавања ДЛЛ -а. ^(DLL)Овај алат ублажава ризик од напада ДЛЛ^(DLL) отмице спречавањем апликација да несигурно учитавају код из ДЛЛ^(DLL) датотека.

Ако желите нешто да додате у чланак, коментаришите испод.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries аnd are external рarts of applicаtionѕ that run on Windows or any other operating system. Most applications are not complete іn themselves and store code in different files. If there is a need for the code, the related file is loaded intо memorу and used. This rеduces application file size while optimizing the usage of RAM. This article explains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Шта је тројанац за даљински приступ? Превенција, откривање и уклањање

• Напади злонамерног софтвера без датотека, заштита и откривање

• Како избећи пхисхинг преваре и нападе?

• Сајбер напади – дефиниција, врсте, превенција

• Отмица прегледача и бесплатни алати за уклањање отмичара прегледача

• Како да користите уграђени алат за скенирање и чишћење малвера у Цхроме претраживачу

• Шта је ИДП.Генериц и како га безбедно уклонити из Виндовс-а?

• Слање злонамерног софтвера: Где да пошаљете датотеке малвера Мицрософт-у и другима?

• Како користити Малваребитес Анти-Малваре за уклањање злонамерног софтвера

• Како уклонити злонамерни софтвер са рачунара у оперативном систему Виндовс 10

• Алати за удаљену администрацију: ризици, претње, превенција

• Како уклонити Цхромиум вирус из Виндовс 11/10

• Како спречити злонамерни софтвер - савети за безбедност Виндовс 11/10

• Наведени модул није пронађен грешка у оперативном систему Виндовс 11/10

• Рогуе Сецурити Софтваре или Сцареваре: Како проверити, спречити, уклонити?

• Исправите грешку неуспеле претраге када се покреће Цхроме скенер малвера

• Шта је ФилеРепМалваре? Треба ли га уклонити?

• Потенцијално нежељени програми или апликације; Избегавајте инсталирање ПУП/ПУА

• Како Мицрософт идентификује малвер и потенцијално нежељене апликације

• Процес Мицрософт Виндовс логотипа у Таск Манагер-у; Да ли је вирус?