DLL-kapring
DLL kapring
DLL kapring, også kjent som "binary planting," er en cyberangrepsmetode som utnytter Windows sin søke- og lasteprosess for dynamiske koblingsbiblioteker (DLL-er). I dette angrepet plasserer en ondsinnet aktør et falskt DLL-fil, ofte forkledd som en legitim fil, på et sted der operativsystemet vil prioritere det over den ekte DLL-en. Som et resultat, når systemet forsøker å laste DLL-en, utfører det utilsiktet uautorisert kode implantert av angriperen.
Hvordan DLL kapring fungerer
Prosessen med DLL kapring innebærer typisk følgende trinn:
Identifisere sårbare applikasjoner: Angripere gjennomfører rekognosering for å identifisere applikasjoner som ikke spesifiserer hele stien til de nødvendige DLL-ene. Disse applikasjonene avhenger av systemets søkeordre for å finne og laste de nødvendige DLL-ene.
Plassere ondsinnede DLL-er: Når en sårbar applikasjon er identifisert, plasserer angriperen en ondsinnet DLL med samme navn som den legitime DLL-en på et sted begunstiget av systemets søkeordre. Vanlige steder inkluderer applikasjonens mappe, Windows systemmapper, eller gjeldende arbeidsmappe.
Utløse kjøring: Når den sårbare applikasjonen startes, begynner operativsystemet å søke og laste DLL-er i henhold til søkeordren. Dessverre, på grunn av den ondsinnede DLL-ens plassering, laster systemet utilsiktet og kjører angriperens kode i stedet for den tiltenkte legitime DLL-en.
Denne metoden for angrep kan utnyttes av trusselaktører til å kjøre vilkårlig kode innenfor konteksten av den målrettede applikasjonen, omgå sikkerhetstiltak og potensielt kompromittere integriteten og konfidensialiteten til systemet.
Forebyggingstips
For å redusere risikoen for DLL kapringsangrep, vurder følgende forebyggende tiltak:
Full sti-spesifikasjon: Utviklere bør eksplisitt spesifisere hele stien for DLL-en som skal lastes, i stedet for å stole på systemets søkeordre. Ved å gi den komplette stien, sikrer utviklere at den tiltenkte DLL-en lastes, og eliminerer muligheten for at en angriper omdirigerer systemet til en ondsinnet DLL.
Kodesignering: Implementering av kodesigneringspraksiser forbedrer integriteten og autentisiteten til DLL-er lastet av applikasjoner. Kodesignering innebærer digital signering av DLL-er med en betrodd sertifiseringsmyndighet (CA), slik at systemet kan verifisere integriteten og opprinnelsen til DLL-en før den lastes. Denne praksisen bidrar til å forhindre kjøring av endrede eller ondsinnede DLL-er.
Brukertillatelser: Begrensning av brukertillatelser spiller en avgjørende rolle i å forhindre uautoriserte brukere fra å manipulere DLL-er eller plassere dem på utsatte steder som kan kapres. Ved å håndheve riktige tilgangskontroller kan organisasjoner redusere risikoen for DLL kapringsangrep.
Deaktiver automatisk lasting: Deaktivering av den automatiske DLL søk- og lastefunksjonen kan være et effektivt forsvar mot DLL kapring. Dette kan oppnås ved å fjerne gjeldende arbeidsmappe fra systemets søkesti. På denne måten vil systemet bare laste DLL-er som eksplisitt er spesifisert med en full sti, og dermed minimere risikoen for utilsiktet DLL-kjøring.
Det er viktig for organisasjoner å prioritere sikring av sine applikasjoner og systemer mot DLL kapring og implementere disse forebyggende tiltakene for å redusere potensielle risikoer.
Relaterte begreper
DLL Injection: DLL injection er handlingen med å tvinge en prosess til å laste et dynamisk koblingsbibliotek (DLL). Denne teknikken kan benyttes til legitime formål, som å utvide funksjonalitet, men den kan også tjene som en metode for cyberangrep.
Rootkit: Et rootkit er en type ondsinnet programvare designet for å oppnå uautorisert tilgang og kontroll over et datasystem mens det unngår deteksjon. Rootkits opererer med forhøyede privilegier, noe som lar dem skjule sin tilstedeværelse og gi en skjult plattform for angripere til å kompromittere systemer eller samle inn sensitiv informasjon.
Kilder:
- Microsoft Security Advisory 2269637: Insecure Library Loading Could Allow Remote Code Execution
- OWASP: DLL Hijacking