DLL Hijacking Güvenlik Açığı Saldırıları, Önleme ve Algılama

DLL, Dinamik Bağlantı Kitaplıkları anlamına gelir ve Windows veya diğer işletim sistemlerinde çalışan uygulamaların harici parçalarıdır. Çoğu uygulama kendi içinde tamamlanmaz ve farklı dosyalarda kod depolar. Kod ihtiyacı varsa, ilgili dosya belleğe yüklenir ve kullanılır. Bu, RAM kullanımını optimize ederken uygulama dosya boyutunu azaltır. Bu makalede, DLL Hijacking nedir ve nasıl tespit edilip önlenebileceği açıklanmaktadır.

DLL Dosyaları veya Dinamik Bağlantı Kitaplıkları nedir?

DLL dosyaları Dynamic Link Libraries`dir ve adından da anlaşılacağı gibi, uzantılardır farklı uygulamaların Kullandığımız herhangi bir uygulama belirli kodları kullanabilir veya kullanmayabilir. Bu kodlar farklı dosyalarda saklanır ve sadece ilgili kod gerektiğinde RAM`e çağrılır veya yüklenir. Böylece, bir uygulama dosyasını çok büyük olmaktan ve uygulama tarafından kaynak hogging önlemek için kaydeder.

DLL dosyaları için yol Windows işletim sistemi tarafından ayarlanır. Yol, Küresel Çevresel Değişkenler kullanılarak ayarlanır. Varsayılan olarak, bir uygulama bir DLL dosyası isterse, işletim sistemi uygulamanın depolandığı klasöre bakar. Orada bulunmazsa, global değişkenler tarafından belirlenen diğer klasörlere gider. Yollara eklenen öncelikler vardır ve Windows`un, DLl`lerin hangi klasörleri aradığını belirlemeye yardımcı olur. Bu DLL korsanlığı geliyor içeride.

DLL Hijacking nedir

DLl`lerin uzantıları ve makinelerinizdeki hemen hemen tüm uygulamaları kullanmak için gerekli olduğu için, bilgisayarda açıklandığı gibi farklı klasörlerde bulunurlar. Orijinal DLL dosyası, kötü amaçlı kod içeren sahte bir DLL dosyası ile değiştirilirse, DLL Hijacking olarak bilinir.

Daha önce bahsedildiği gibi, işletim sisteminin DLL dosyalarını aradığı öncelikler vardır. İlk olarak, uygulama klasörü ile aynı klasöre bakar ve daha sonra işletim sisteminin ortam değişkenleri tarafından belirlenen önceliklere göre arama yapar. Bu nedenle, bir good.dll dosyası SysWOW64 klasöründe bulunuyorsa ve birisi SysWOW64 klasörüne göre daha yüksek öncelikli olan bir klasöre bir bad.dll yerleştirirse, işletim sistemi DLL ile aynı adı taşıyan bad.dll dosyasını kullanır. uygulama tarafından talep edildi. RAM`e girdikten sonra, dosyada bulunan zararlı kodları çalıştırabilir ve bilgisayarınızı veya ağlarınızı tehlikeye atabilir.

DLL Hijacking`i nasıl algılayabilir

DLL ele geçirme işlemlerini algılayıp önlemenin en kolay yolu üçüncü taraf araçlarını kullanmaktır. Piyasada mevcut bir ücretsiz hackleme aracı vardır ve bir DLL hack girişiminin tespit edilmesine yardımcı olur ve onu önler.

Böyle bir program DLL Hijack Denetçisidir fakat sadece 32-bit uygulamaları destekler. Tüm uygulamaların DLL saldırılarına karşı savunmasız olduklarını görmek için bilgisayarınıza yükleyebilir ve tüm Windows uygulamalarınızı tarayabilirsiniz. Arayüz basit ve kendini açıklayıcıdır. Bu uygulamanın tek dezavantajı, 64-bit uygulamaları tarayamazsınız.

DLL hacklemesini tespit etmek için başka bir program olan DLL_HIJACK_DETECT, GitHub üzerinden kullanılabilir. Bu program, herhangi bir DLL kaçırma güvenlik açığı olup olmadığını görmek için uygulamaları denetler. Öyleyse, program kullanıcıyı bilgilendirir. Uygulamanın iki sürümü vardır - x86 ve x64, böylece sırasıyla 32 bit ve 64 bit uygulamaları taramak için her birini kullanabilirsiniz.

Yukarıdaki programların, güvenlik açıkları için Windows platformundaki uygulamaları taradığı ve aslında DLL dosyalarının ele geçirilmesini önleyin.

DLL Hijacking`i nasıl önlerim

Güvenlik sisteminizi güçlendirmek dışında yapabileceğiniz çok şey olmadığı için, sorun öncelikle programcılar tarafından ele alınmalıdır. Göreceli bir yol yerine, programcılar mutlak yol kullanmaya başlarsa, güvenlik açığı azalacaktır. Mutlak yolun okunması, Windows ya da herhangi bir başka işletim sistemi, sistem değişkenlerine göre değişmez ve amaçlanan DLL için dümdüz ilerler, böylece daha yüksek öncelikli bir yolla aynı addaki DLL dosyasının yüklenme şansını ortadan kaldırır. Bu yöntem de, hataya dayanıklı değildir çünkü sistem tehlikeye düşerse ve siber suçlular DLL dosyasının tam yolunu bilirlerse, orijinal DLl`yi sahte DLL ile değiştirirler. Bu, dosyanın üzerine yazılır, böylece orijinal DLL, kötü amaçlı kod olarak değiştirilir. Fakat yine de, siber suçlu, DLL için çağrılan uygulamada belirtilen kesin mutlak yolu bilmesi gerekecek. Süreç siber suçlular için zor ve bundan dolayı sayılabilir.

Ne yapabileceğinize geri dönüyorsanız, sadece Windows sisteminizi daha güvenli hale getirmek için güvenlik sistemlerinizi çoğaltmaya çalışın. İyi bir güvenlik duvarı kullanın. Mümkünse, bir donanım güvenlik duvarı kullanın veya yönlendirici güvenlik duvarını açın. Bilgisayarla çalismaya çalisirsa, iyi girisim algilama sistemlerini kullanin.

Bilgisayarlarda sorun gidermeye karisiyorsaniz, güvenliğiniz için asagidakileri de yapabilirsiniz:

1. Uzak ağ paylaşımlarından DLL yüklemesini devre dışı bırak
2. WebDAV
3. `dan DLL dosyalarının yüklenmesini devre dışı bırakma> WebClient servisini tamamen devre dışı bırakın veya manuel olarak ayarlayın
4. Bilgisayarlardan ödün vermek için en çok kullanılan TCP bağlantı noktalarını 445 ve 139 engelleyin
5. En son güncelleştirmeleri işletim sistemine yükleyin sistem ve güvenlik yazılımı.

Microsoft DLL yükü ele geçirme saldırılarını engellemek için bir araç yayımladı. Bu araç, uygulamaların DLL dosyalarından güvenli bir şekilde kod yüklemesini engelleyerek DLL saldırılarına karşı saldırı riskini azaltır.

Makaleye herhangi bir şey eklemek isterseniz lütfen aşağıdan yorum yapın.