DLL je skratka pre Dynamic Link Libraries a sú to externé časti aplikácií, ktoré bežia na Windowse^(Windows) alebo inom operačnom systéme. Väčšina aplikácií nie je úplná a kód ukladá do rôznych súborov. Ak je potrebný kód, príslušný súbor sa načíta do pamäte a použije sa. Tým sa zníži veľkosť súboru aplikácie a zároveň sa optimalizuje využitie pamäte RAM^(RAM) . Tento článok vysvetľuje, čo je DLL Hijacking a ako ho odhaliť a zabrániť mu.

Čo sú súbory^(Files) DLL alebo knižnice dynamických odkazov^{(Dynamic Link Libraries)}

^(DLL)Súbory DLL sú knižnice dynamických odkazov^{(Dynamic Link Libraries)} a ako je zrejmé z názvu, sú rozšíreniami rôznych aplikácií. Každá aplikácia, ktorú používame, môže alebo nemusí používať určité kódy. Takéto kódy sú uložené v rôznych súboroch a sú vyvolané alebo načítané do RAM iba vtedy, keď je potrebný súvisiaci kód. To šetrí súbor aplikácie pred tým, aby sa príliš zväčšil, a aby sa zabránilo zahlcovaniu zdrojov aplikáciou.

Cestu pre súbory DLL nastavuje operačný systém ^(DLL)Windows . Cesta je nastavená pomocou globálnych environmentálnych premenných^{(Global Environmental Variables)} . V predvolenom nastavení, ak aplikácia požaduje súbor DLL , operačný systém sa pozrie do rovnakého priečinka, v ktorom je uložená aplikácia. Ak sa tam nenájde, prejde do iných priečinkov podľa nastavenia globálnych premenných. Cestám sú priradené priority a pomáha to systému Windows^(Windows) pri určovaní priečinkov, ktoré má hľadať DLL^(DLLs) . Tu prichádza na rad únos DLL .

Čo je DLL Hijacking

Keďže knižnice DLL^(DLLs) sú rozšírenia a sú potrebné na používanie takmer všetkých aplikácií na vašich počítačoch, nachádzajú sa v počítači v rôznych priečinkoch, ako je vysvetlené. Ak je pôvodný súbor DLL nahradený falošným súborom DLL obsahujúcim škodlivý kód, je to známe ako DLL Hijacking .

Ako už bolo spomenuté, existujú priority, pokiaľ ide o to, kde operačný systém hľadá súbory DLL . Najprv^(First) sa pozrie do rovnakého priečinka ako priečinok aplikácie a potom začne hľadať na základe priorít stanovených premennými prostredia operačného systému. Ak je teda súbor good.dll v priečinku SysWOW64 a niekto umiestni súbor bad.dll do priečinka, ktorý má vyššiu prioritu ako priečinok SysWOW64 , operačný systém použije súbor bad.dll, pretože má rovnaký názov ako DLL vyžiadaná aplikáciou. Keď je v pamäti RAM^(RAM) , môže spustiť škodlivý kód obsiahnutý v súbore a môže ohroziť váš počítač alebo siete.

Ako zistiť DLL Hijacking

Najjednoduchšou metódou na zistenie a zabránenie únosu knižnice DLL^(DLL) je použitie nástrojov tretích strán. Na trhu je k dispozícii niekoľko dobrých bezplatných nástrojov, ktoré pomáhajú pri zisťovaní pokusu o hacknutie DLL a predchádza mu.^(DLL)

Jedným z takýchto programov je DLL Hijack Auditor , ktorý však podporuje iba 32-bitové aplikácie. Môžete si ho nainštalovať do počítača a prehľadať všetky svoje aplikácie Windows, aby ste zistili, ktoré aplikácie sú zraniteľné voči únosu DLL . Rozhranie je jednoduché a samovysvetľujúce. Jedinou nevýhodou tejto aplikácie je, že nemôžete skenovať 64-bitové aplikácie.

Ďalší program na detekciu únosu  DLL , DLL_HIJACK_DETECT, je dostupný cez GitHub . Tento program kontroluje aplikácie, aby zistil, či niektorá z nich nie je zraniteľná voči únosu knižnice DLL . ^(DLL)Ak áno, program o tom informuje používateľa. Aplikácia má dve verzie – x86 a x64 , takže každú môžete použiť na skenovanie 32-bitových a 64-bitových aplikácií.

Je potrebné poznamenať, že vyššie uvedené programy iba skenujú aplikácie na platforme Windows a neobsahujú ^(Windows)zraniteľné miesta a v skutočnosti nezabránia ukradnutiu súborov DLL .

Ako zabrániť únosu knižnice DLL

Tento problém by mali riešiť v prvom rade programátori, pretože okrem posilnenia vašich bezpečnostných systémov nemôžete urobiť veľa. Ak namiesto relatívnej cesty začnú programátori používať absolútnu cestu, zraniteľnosť sa zníži. Pri čítaní absolútnej cesty nebude systém Windows^(Windows) alebo akýkoľvek iný operačný systém závisieť od systémových premenných pre cestu a pôjde priamo po zamýšľanú knižnicu DLL^(DLL) , čím sa zníži šanca na načítanie knižnice s rovnakým názvom DLL v ceste s vyššou prioritou. Táto metóda tiež nie je odolná voči poruchám, pretože ak je systém ohrozený a počítačoví zločinci poznajú presnú cestu knižnice DLL^(DLL) , nahradia pôvodnú knižnicu DLL^(DLL) falošnou knižnicou DLL .^(DLL). To by znamenalo prepísanie súboru tak, aby sa pôvodná knižnica DLL^(DLL) zmenila na škodlivý kód. Ale opäť, kyberzločinec bude musieť poznať presnú absolútnu cestu uvedenú v aplikácii, ktorá vyžaduje DLL . Tento proces je náročný pre kyberzločincov, a preto sa s ním dá počítať.

Vráťme sa k tomu, čo môžete urobiť, skúste jednoducho rozšíriť svoje bezpečnostné systémy, aby ste lepšie zabezpečili systém Windows^{(secure your Windows system)} . Použite dobrý firewall . Ak je to možné, použite hardvérovú bránu firewall alebo zapnite bránu firewall smerovača. Používajte dobré systémy detekcie narušenia , aby ste vedeli, či sa niekto pokúša hrať s vaším počítačom.

Ak máte záujem o odstraňovanie problémov s počítačmi, môžete na zvýšenie bezpečnosti vykonať aj nasledovné:

1. Zakázať načítanie DLL zo vzdialených sieťových zdieľaní
2. Zakázať načítanie súborov DLL z WebDAV
3. Úplne zakážte službu WebClient alebo ju nastavte na manuálnu
4. Zablokujte^(Block) porty TCP 445 a 139, pretože sa najviac používajú na kompromitovanie počítačov
5. Nainštalujte najnovšie aktualizácie operačného systému a bezpečnostného softvéru.

Microsoft uvoľnil nástroj na blokovanie útokov na únosy DLL . Tento nástroj znižuje riziko útokov na únosy DLL tým, že bráni aplikáciám v nezabezpečenom načítavaní kódu zo súborov DLL .

Ak chcete k článku niečo doplniť, napíšte komentár nižšie.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external parts of applications that run on Windows or any other operating system. Most applications are not complete іn themselves and stоre code in different files. If there is a nеed for the code, the rеlated file is loaded into memory and used. This reducеs аpplication file size while optimizing the usage of RAM. This article explains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Čo je trójsky kôň pre vzdialený prístup? Prevencia, detekcia a odstraňovanie

• Bezsúborové útoky, ochrana a detekcia škodlivého softvéru

• Ako sa vyhnúť phishingovým podvodom a útokom?

• Kybernetické útoky – definícia, typy, prevencia

• Únos prehliadača a bezplatné nástroje na odstránenie únoscov prehliadača

• Potenciálne nežiaduce programy alebo aplikácie; Vyhnite sa inštalácii PUP/PUA

• Ako môžete získať počítačový vírus, trójsky kôň, prácu, spyware alebo malware?

• Skontrolujte, či váš počítač nebol infikovaný malvérom ASUS Update

• Najlepšie skenery vírusov a malvéru ZARUČUJÚ rozbiť akýkoľvek vírus

• Ako používať vstavaný nástroj Malware Scanner & Cleanup Tool v prehliadači Chrome

• Čo sú útoky Living Off The Land? Ako zostať v bezpečí?

• Čo je FileRepMalware? Mali by ste to odstrániť?

• Čo je Win32:BogEnt a ako ho odstrániť?

• Čo je kybernetický zločin? Ako sa s tým vysporiadať?

• Ako odstrániť malvér z počítača v systéme Windows 10

• Proces loga Microsoft Windows v Správcovi úloh; Je to vírus?

• Ako odstrániť Chromium Virus z Windows 11/10

• Ako skontrolovať register na prítomnosť škodlivého softvéru v systéme Windows 11/10

• Ako používať Avast Boot Scan na odstránenie škodlivého softvéru z počítača so systémom Windows

• Chyba zadaného modulu v systéme Windows 11/10 sa nenašla