Захват DLL (Dynamic-link library)
Угон DLL
Угон DLL, также известный как "подмена бинарных файлов", является техникой кибератаки, которая использует поиск и загрузку динамических библиотек (DLL) в Windows. В этой атаке злоумышленник стратегически размещает поддельный файл DLL, часто маскируясь под легитимный файл, в месте, где операционная система приоритизирует его перед подлинным DLL. В результате, когда система пытается загрузить DLL, она непреднамеренно выполняет несанкционированный код, внедренный злоумышленником.
Как работает угон DLL
Процесс угона DLL обычно включает следующие шаги:
Выявление уязвимых приложений: Злоумышленники проводят разведку, чтобы определить приложения, которые не указывают полный путь к необходимым им DLL. Эти приложения зависят от порядка поиска системы для нахождения и загрузки необходимых DLL.
Размещение вредоносных DLL: Как только уязвимое приложение выявлено, злоумышленник размещает вредоносную DLL с тем же именем, что и у легитимной DLL, в месте, которое приоритетно для системы в порядке поиска. Общие места включают директорию приложения, системные директории Windows или текущую рабочую директорию.
Запуск выполнения: Когда уязвимое приложение запускается, операционная система инициирует поиск и загрузку DLL в соответствии с порядком поиска. К сожалению, из-за размещения вредоносной DLL, система непреднамеренно загружает и выполняет код злоумышленника вместо предполагаемой легитимной DLL.
Этот метод атаки может быть использован злоумышленниками для выполнения произвольного кода в контексте целевого приложения, обходя меры безопасности и потенциально компрометируя целостность и конфиденциальность системы.
Советы по предотвращению
Для снижения риска атак угона DLL рассмотрите следующие меры предосторожности:
Указание полного пути: Разработчикам следует явно указывать полный путь для загружаемой DLL, а не полагаться на порядок поиска системы. Указав полный путь, разработчики гарантируют загрузку предполагаемой DLL, исключая возможность перенаправления системы на вредоносную DLL злоумышленником.
Подписание кода: Реализация практик подписания кода повышает целостность и подлинность DLL, загружаемых приложениями. Подписание кода включает цифровое подписание DLL с использованием доверенного центра сертификации (CA), что позволяет системе проверять целостность и происхождение DLL перед загрузкой. Эта практика помогает предотвратить выполнение поддельных или вредоносных DLL.
Права пользователей: Ограничение прав пользователей играет ключевую роль в предотвращении манипулирования DLL или размещения их в уязвимых местах, которые могут быть скомпрометированы. Налагая соответствующие контрольные меры доступа, организации могут снижать риск атак угона DLL.
Отключение автозагрузки: Отключение автоматического поиска и загрузки DLL может быть эффективной защитой против угона DLL. Это можно сделать, удалив текущую рабочую директорию из поискового пути системы. Таким образом, система будет загружать только явно указанные с полным путем DLL, минимизируя риск непреднамеренного выполнения DLL.
Важным для организаций является приоритизация обеспечения безопасности своих приложений и систем от угона DLL и внедрение этих превентивных мер для снижения потенциальных рисков.
Связанные термины
Внедрение DLL: Внедрение DLL - это акт принуждения процесса к загрузке динамической библиотеки (DLL). Эта техника может использоваться для легальных целей, таких как расширение функциональности, но также может служить методом для кибератак.
Руткит: Руткит - это тип вредоносного программного обеспечения, предназначенного для получения несанкционированного доступа и контроля над компьютерной системой при уклонении от обнаружения. Руткиты работают с повышенными привилегиями, что позволяет им скрывать свое присутствие и предоставлять скрытую платформу для злоумышленников с целью компрометации систем или сбора конфиденциальной информации.
Источники:
- Совет по безопасности Microsoft 2269637: Небезопасная загрузка библиотек может позволить удаленное выполнение кода
- OWASP: Угон DLL