DLL je skraćenica od Dynamic Link Libraries i vanjski su dijelovi aplikacija koje se pokreću na Windows ili bilo kojem drugom operativnom sustavu. Većina aplikacija nije potpuna sama po sebi i pohranjuje kod u različite datoteke. Ako postoji potreba za kodom, povezana datoteka se učitava u memoriju i koristi. To smanjuje veličinu datoteke aplikacije uz optimizaciju korištenja RAM-a^(RAM) . Ovaj članak objašnjava što je DLL otmica^{(DLL Hijacking)} i kako ga otkriti i spriječiti.

Što su DLL datoteke^(Files) ili biblioteke dinamičkih veza^{(Dynamic Link Libraries)}

DLL datoteke su Dynamic Link Library^{(Dynamic Link Libraries)} i kao što je vidljivo iz naziva, proširenja su različitih aplikacija. Svaka aplikacija koju koristimo može ili ne mora koristiti određene kodove. Takvi su kodovi pohranjeni u različitim datotekama i pozivaju se ili učitavaju u RAM samo kada je potreban odgovarajući kod. Na taj način sprema datoteku aplikacije da ne postane prevelika i kako bi se spriječilo korištenje resursa od strane aplikacije.

Put za DLL datoteke postavlja operativni sustav Windows . Put se postavlja pomoću Globalnih varijabli okoliša^{(Global Environmental Variables)} . Prema zadanim postavkama, ako aplikacija zatraži DLL datoteku, operativni sustav gleda u istu mapu u kojoj je aplikacija pohranjena. Ako se tamo ne pronađe, ide u druge mape koje su postavile globalne varijable. Prioriteti su vezani uz putove i to pomaže Windowsu^(Windows) u određivanju koje mape treba tražiti za DLL^(DLLs) -ove . Ovdje dolazi do otmica DLL -a.^(DLL)

Što je DLL otmica

Budući da su DLL^(DLLs) -ovi proširenja i neophodni za korištenje gotovo svih aplikacija na vašim strojevima, prisutni su na računalu u različitim mapama kao što je objašnjeno. Ako je izvorna DLL datoteka zamijenjena lažnom DLL datotekom koja sadrži zlonamjerni kod, poznata je kao DLL otmica^{(DLL Hijacking)} .

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

Najlakši način za otkrivanje i sprječavanje otmice DLL -a je korištenje alata treće strane. Na tržištu su dostupni neki dobri besplatni alati koji pomažu u otkrivanju pokušaja hakiranja DLL -a i sprječavanju istog.^(DLL)

Jedan takav program je DLL Hijack Auditor , ali podržava samo 32-bitne aplikacije. Možete ga instalirati na svoje računalo i skenirati sve svoje Windows aplikacije da vidite koje su sve aplikacije ranjive na otmicu DLL -a. ^(DLL)Sučelje je jednostavno i samo po sebi razumljivo. Jedini nedostatak ove aplikacije je što ne možete skenirati 64-bitne aplikacije.

Drugi program, za otkrivanje otmice  DLL -a, ^(DLL)DLL_HIJACK_DETECT, dostupan je putem GitHuba^(GitHub) . Ovaj program provjerava aplikacije da vidi je li neka od njih ranjiva na otmicu DLL -a. ^(DLL)Ako jest, program obavještava korisnika. Aplikacija ima dvije verzije – x86 i x64 , tako da svaku možete koristiti za skeniranje 32-bitnih i 64-bitnih aplikacija.

Treba napomenuti da gore navedeni programi samo skeniraju aplikacije na Windows platformi na ranjivosti i zapravo ne sprječavaju otmicu DLL datoteka.

Kako spriječiti otmicu DLL-a

Problemom bi se prije svega trebali pozabaviti programeri jer ne možete puno učiniti osim poboljšati svoje sigurnosne sustave. Ako umjesto relativnog puta, programeri počnu koristiti apsolutni put, ranjivost će se smanjiti. Čitanje apsolutne putanje, Windows ili bilo koji drugi operativni sustav neće ovisiti o varijablama sustava za put i ići će ravno na predviđeni DLL , čime se odbacuju šanse za učitavanje ^(DLL)DLL istog imena na stazi višeg prioriteta. Ova metoda također nije otporna na greške jer ako je sustav ugrožen, a kibernetički kriminalci znaju točan put DLL -a, zamijenit će originalni DLL lažnim DLL -om^(DLL). To bi bilo prepisivanje datoteke tako da se izvorni DLL promijeni u zlonamjerni kod. Ali opet, cyber kriminalac će morati znati točan apsolutni put koji se spominje u aplikaciji koja zahtijeva DLL . Proces je težak za kibernetičke kriminalce i stoga se na njega može računati.

Vraćajući se na ono što možete učiniti, samo pokušajte povećati svoje sigurnosne sustave kako biste bolje zaštitili svoj Windows sustav^{(secure your Windows system)} . Koristite dobar vatrozid^(firewall) . Ako je moguće, koristite hardverski vatrozid ili uključite vatrozid usmjerivača. Koristite dobre sustave za otkrivanje upada kako biste znali pokušava li se netko igrati s vašim računalom.

Ako ste u rješavanju problema s računalima, možete poduzeti i sljedeće kako biste povećali svoju sigurnost:

1. Onemogućite učitavanje DLL -a s udaljenih mrežnih dijeljenja
2. Onemogućite učitavanje DLL datoteka s WebDAV -a^(WebDAV)
3. Potpuno onemogućite uslugu WebClient ili je postavite na ručnu
4. Blokirajte ^(Block)TCP portove 445 i 139 jer se najviše koriste za kompromitirajuća računala
5. Instalirajte najnovija ažuriranja operativnog sustava i sigurnosnog softvera.

Microsoft je izdao alat za blokiranje napada otmice učitavanja DLL -a. ^(DLL)Ovaj alat ublažava rizik od napada otmice DLL -a sprječavajući aplikacije da nesigurno učitavaju kod iz ^(DLL)DLL datoteka.

Ako želite nešto dodati članku, komentirajte ispod.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external parts оf applications that run on Windows or any other operating system. Most applications are not comрletе in themselves and store code in different files. If there is a need for the code, the related file is loaded intо memory and used. This reduces applісation file sizе while optimizing the usage of RAM. This articlе explаіns what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Što je trojanac za daljinski pristup? Prevencija, otkrivanje i uklanjanje

• Napadi zlonamjernog softvera bez datoteka, zaštita i otkrivanje

• Kako izbjeći phishing prijevare i napade?

• Cyber ​​napadi - definicija, vrste, prevencija

• Otmica preglednika i besplatni alati za uklanjanje otmičara preglednika

• Kako provjeriti ima li u registru zlonamjernog softvera u sustavu Windows 11/10

• Slanje zlonamjernog softvera: Gdje poslati datoteke zlonamjernog softvera Microsoftu i drugima?

• Cryptojacking nova prijetnja rudarenja preglednika o kojoj trebate znati

• Bundleware: definicija, prevencija, vodič za uklanjanje

• Što je CandyOpen? Kako ukloniti CandyOpen iz Windows 10?

• Kako ukloniti zlonamjerni softver s računala u sustavu Windows 10

• Najbolji skeneri virusa i zlonamjernog softvera GARANCIRANO za uništavanje bilo kojeg virusa

• Kako koristiti Malwarebytes Anti-Malware za uklanjanje zlonamjernog softvera

• Kako spriječiti zlonamjerni softver - Savjeti za osiguranje sustava Windows 11/10

• IObit Malware Fighter Besplatan pregled i preuzimanje

• Što je Win32:BogEnt i kako ga ukloniti?

• Kako ukloniti zlonamjerni softver s Android telefona

• Potencijalno neželjeni programi ili aplikacije; Izbjegavajte instaliranje PUP/PUA

• Najbolji online skeneri zlonamjernog softvera za skeniranje datoteke

• Kako ukloniti Chromium virus iz sustava Windows 11/10