DLL-Hijacking-Sicherheitsanfälligkeit Angriffe, Vorbeugung und Erkennung

DLL steht für Dynamic Link Libraries und ist ein externer Teil von Anwendungen, die unter Windows oder anderen Betriebssystemen ausgeführt werden. Die meisten Anwendungen sind nicht vollständig und speichern Code in verschiedenen Dateien. Wenn der Code benötigt wird, wird die zugehörige Datei in den Speicher geladen und verwendet. Dies reduziert die Anwendungsdateigröße und optimiert gleichzeitig die Nutzung von RAM. Dieser Artikel erklärt, was DLL Hijacking ist und wie man es erkennt und verhindert

Was sind DLL-Dateien oder Dynamic Link Libraries

DLL-Dateien sind Dynamic Link Libraries und wie der Name zeigt, sind Erweiterungen von verschiedenen Anwendungen. Jede Anwendung, die wir verwenden, kann bestimmte Codes verwenden oder nicht. Solche Codes werden in verschiedenen Dateien gespeichert und nur dann aufgerufen oder in den RAM geladen, wenn der zugehörige Code benötigt wird. Dadurch wird verhindert, dass eine Anwendungsdatei zu groß wird und Ressourcen-Hogging durch die Anwendung verhindert wird.

Der Pfad für DLL-Dateien wird vom Windows-Betriebssystem festgelegt. Der Pfad wird mit globalen Umgebungsvariablen festgelegt. Wenn eine Anwendung eine DLL-Datei anfordert, sucht das Betriebssystem standardmäßig in dem Ordner, in dem die Anwendung gespeichert ist. Wenn es dort nicht gefunden wird, geht es zu anderen Ordnern, wie von den globalen Variablen festgelegt. Pfaden sind Prioritäten zugeordnet, und Windows hilft dabei, zu bestimmen, welche Ordner nach den DLLs suchen. Hier kommt das DLL Hijacking ins Spiel.

Was ist DLL Hijacking

Da DLLs Erweiterungen sind und notwendig sind, um fast alle Anwendungen auf Ihren Maschinen zu benutzen, sind sie auf dem Computer in verschiedenen Ordnern wie erklärt. Wenn die ursprüngliche DLL-Datei durch eine gefälschte DLL-Datei ersetzt wird, die schädlichen Code enthält, wird dies als DLL-Hijacking bezeichnet.

Wie bereits erwähnt, gibt es Prioritäten für die Suche des Betriebssystems nach DLL-Dateien. Zuerst wird in den gleichen Ordner wie der Anwendungsordner geschaut und dann wird nach den Prioritäten gesucht, die von den Umgebungsvariablen des Betriebssystems festgelegt wurden. Wenn sich also eine Datei "good.dll" im Ordner "SysWOW64" befindet und jemand eine Datei "bad.dll" in einem Ordner platziert, der eine höhere Priorität als der Ordner "SysWOW64" hat, verwendet das Betriebssystem die Datei bad.dll, da sie den gleichen Namen wie die DLL hat angefordert von der Anwendung. Sobald er im RAM ist, kann er den in der Datei enthaltenen schädlichen Code ausführen und den Computer oder die Netzwerke kompromittieren.

Erkennen von DLL-Hijacking

Die einfachste Methode zum Erkennen und Verhindern von DLL-Hijacking ist die Verwendung von Drittanbieter-Tools. Es gibt einige gute kostenlose Tools auf dem Markt, die hilft bei der Erkennung eines DLL-Hack-Versuch und verhindern es.

Ein solches Programm ist DLL Hijack Auditor, aber es unterstützt nur 32-Bit-Anwendungen. Sie können es auf Ihrem Computer installieren und alle Ihre Windows-Anwendungen scannen, um zu sehen, welche Anwendungen anfällig für DLL-Hijack sind. Die Oberfläche ist einfach und selbsterklärend. Der einzige Nachteil dieser Anwendung besteht darin, dass Sie 64-Bit-Anwendungen nicht scannen können.

Ein anderes Programm zum Erkennen von DLL-Hijacking, DLL_HIJACK_DETECT, ist über GitHub verfügbar. Dieses Programm überprüft Anwendungen, um festzustellen, ob einige von ihnen anfällig für DLL-Hijacking sind. Wenn dies der Fall ist, informiert das Programm den Benutzer. Die Anwendung hat zwei Versionen - x86 und x64, so dass Sie jeweils beide 32-Bit-und 64-Bit-Anwendungen jeweils scannen können.

Es sollte beachtet werden, dass die oben genannten Programme nur die Anwendungen auf Windows-Plattform für Schwachstellen und nicht tatsächlich scannen verhindern Sie die Entführung von DLL-Dateien

So verhindern Sie das Entführen von DLLs

Das Problem sollte von den Programmierern an erster Stelle behandelt werden, da Sie nicht viel tun können, außer Ihre Sicherheitssysteme zu verbessern. Wenn anstelle eines relativen Pfades Programmierer den absoluten Pfad verwenden, wird die Sicherheitsanfälligkeit reduziert. Beim Lesen des absoluten Pfads hängt das Windows- oder jedes andere Betriebssystem nicht von den Systemvariablen für den Pfad ab und wird direkt zur gewünschten DLL geleitet, wodurch die Chancen entfallen, die DLL mit dem gleichen Namen in einen Pfad mit höherer Priorität zu laden. Auch diese Methode ist nicht ausfallsicher, denn wenn das System kompromittiert ist und Cyberkriminelle den genauen Pfad der DLL kennen, werden sie die ursprüngliche DLL durch die gefälschte DLL ersetzen. Das würde die Datei überschreiben, so dass die ursprüngliche DLL in bösartigen Code geändert wird. Aber wieder muss der Cyberkriminelle den genauen absoluten Pfad kennen, der in der Anwendung erwähnt wird, die die DLL aufruft. Der Prozess ist für Cyberkriminelle schwierig und daher kann man rechnen.

Kommen Sie zurück zu dem, was Sie tun können, versuchen Sie einfach, Ihre Sicherheitssysteme zu vergrößern, um Ihr Windows-System besser zu sichern. Verwenden Sie eine gute Firewall. Verwenden Sie nach Möglichkeit eine Hardware-Firewall oder schalten Sie die Firewall des Routers ein. Verwenden Sie gute Intrusion Detection-Systeme, damit Sie wissen, ob jemand versucht, mit Ihrem Computer zu spielen.

Wenn Sie Probleme mit Computern haben, können Sie zur Erhöhung der Sicherheit auch Folgendes ausführen:

1. DLL-Laden von Remote-Netzwerkfreigaben deaktivieren
2. Laden von DLL-Dateien von WebDAV deaktivieren
3. WebClient-Dienst vollständig deaktivieren oder auf manuell setzen
4. Blockieren Sie die TCP-Ports 445 und 139, wie sie am häufigsten für Computer kompromittiert werden
5. Installieren Sie die neuesten Updates für den Betrieb System- und Sicherheitssoftware

Microsoft hat ein Tool zum Blockieren von DLL-Load-Hijacking-Angriffen veröffentlicht. Dieses Tool verringert das Risiko von DLL-Hijacking-Angriffen, indem es verhindert, dass Anwendungen Code aus DLL-Dateien unsicher laden.

Wenn Sie dem Artikel etwas hinzufügen möchten, geben Sie bitte unten einen Kommentar an.