DLL 하이재킹 취약점 공격, 예방 및 탐지

DLL은 동적 링크 라이브러리의 약자이며 Windows 나 다른 운영 체제에서 실행되는 응용 프로그램의 외부 부분입니다. 대부분의 응용 프로그램은 그 자체로 완전하지 않으며 다른 파일에 코드를 저장합니다. 코드가 필요할 경우 관련 파일이 메모리에로드되어 사용됩니다. 이렇게하면 응용 프로그램 파일 크기가 줄어들고 RAM 사용이 최적화됩니다. 이 기사에서는 DLL 하이재킹 과 그 탐지 및 방지 방법에 대해 설명합니다.

DLL 파일 또는 동적 링크 라이브러리 란 무엇입니까?

DLL 파일은 동적 링크 라이브러리이며, 다른 응용 프로그램의. 우리가 사용하는 응용 프로그램은 특정 코드를 사용하거나 사용하지 않을 수 있습니다. 이러한 코드는 다른 파일에 저장되며 관련 코드가 필요할 때만 RAM에로드되거나로드됩니다. 따라서 응용 프로그램 파일이 너무 커지는 것을 막고 응용 프로그램에 의한 자원 호깅을 방지 할 수 있습니다.

DLL 파일의 경로는 Windows 운영 체제에서 설정합니다. 경로는 지구 환경 변수를 사용하여 설정됩니다. 기본적으로 응용 프로그램에서 DLL 파일을 요청하면 운영 체제는 응용 프로그램이 저장된 동일한 폴더를 조사합니다. 거기에 없으면 전역 변수로 설정된 다른 폴더로 이동합니다. 우선 순위가 경로에 첨부되어 있으며 Windows에서 DLL을 찾을 폴더를 결정하는 데 도움이됩니다. DLL 하이재킹이란 무엇입니까?

DLL 하이재킹이란 무엇입니까?

DLL은 확장되어 있으며 컴퓨터의 거의 모든 응용 프로그램을 사용하는 데 필요하기 때문에 설명한대로 다른 폴더에 있습니다. 원래 DLL 파일이 악성 코드가 포함 된 가짜 DLL 파일로 바뀌면 DLL 도용 으로 알려져 있습니다.

앞에서 언급했듯이 운영 체제가 DLL 파일을 찾는 위치가 우선합니다. 먼저, 응용 프로그램 폴더와 동일한 폴더를 조사한 다음 운영 체제의 환경 변수로 설정된 우선 순위에 따라 검색합니다. 따라서 good.dll 파일이 SysWOW64 폴더에 있고 누군가 SysWOW64 폴더에 비해 우선 순위가 높은 폴더에 bad.dll을 배치하면 운영 체제는 bad.dll 파일을 사용합니다 (DLL과 동일한 이름 임). 신청서에 의해 요청 된 RAM에 들어가면 파일에 포함 된 악성 코드가 실행되어 컴퓨터 나 네트워크가 손상 될 수 있습니다.

DLL 도용 탐지 방법

DLL 도용을 탐지하고 방지하는 가장 쉬운 방법은 타사 도구를 사용하는 것입니다. DLL 해킹 시도를 탐지하고 예방하는 데 도움이되는 유용한 무료 도구가 시장에 있습니다.

이러한 프로그램 중 하나는 DLL Hijack Auditor이지만 32 비트 응용 프로그램 만 지원합니다. 컴퓨터에 설치하고 모든 Windows 응용 프로그램을 검사하여 모든 응용 프로그램이 DLL 도용에 취약한 지 확인할 수 있습니다. 인터페이스는 간단하고 자명합니다. 이 응용 프로그램의 유일한 단점은 64 비트 응용 프로그램을 검사 할 수 없다는 것입니다.

DLL 하이재킹 DLL_HIJACK_DETECT를 감지하는 또 다른 프로그램은 GitHub를 통해 사용할 수 있습니다. 이 프로그램은 응용 프로그램을 검사하여 DLL 하이재킹에 취약한 응용 프로그램이 있는지 확인합니다. 이 경우 프로그램은 사용자에게 알립니다. 이 응용 프로그램에는 x86 및 x64의 두 가지 버전이 있으므로 각각을 사용하여 32 비트 및 64 비트 응용 프로그램을 각각 스캔 할 수 있습니다.

위의 프로그램은 Windows 플랫폼의 응용 프로그램을 검사하여 실제로 취약점을 발견하지는 않습니다 DLL 파일의 하이재킹을 방지합니다.

DLL 하이재킹을 방지하는 방법

보안 시스템을 강화하는 것 외에는 할 수있는 일이 많지 않기 때문에 먼저 프로그래머가 문제를 해결해야합니다. 상대 경로 대신 프로그래머가 절대 경로를 사용하기 시작하면 취약점이 감소합니다. 절대 경로를 읽는 Windows 또는 다른 운영 체제는 경로에 대한 시스템 변수에 의존하지 않으며 따라서 의도 된 DLL에 대해 곧바로 진행되므로 더 높은 우선 순위 경로에 같은 이름의 DLL을로드 할 가능성이 없어집니다. 이 방법 역시 시스템이 손상되고 사이버 범죄자가 DLL의 정확한 경로를 알고 있기 때문에 원본 DLL을 가짜 DLL로 대체하기 때문에 실수가 아닙니다. 원본 DLL이 악의적 인 코드로 변경되도록 파일을 덮어 쓰는 것입니다. 그러나 사이버 범죄자는 DLL을 요구하는 응용 프로그램에 언급 된 정확한 절대 경로를 알아야합니다. 이 프로세스는 사이버 범죄자들에게는 힘들고 따라서 계산 될 수 있습니다.

다시 할 수있는 일로 돌아 가면 보안 시스템을 확장하여 Windows 시스템의 보안을 강화하십시오. 좋은 방화벽을 사용하십시오. 가능하면 하드웨어 방화벽을 사용하거나 라우터 방화벽을 켜십시오. 좋은 침입 탐지 시스템을 사용하여 누군가가 컴퓨터를 가지고 놀려고하는지 알 수 있습니다.

컴퓨터 문제를 해결하려면 다음을 수행하여 보안을 강화하십시오.

1. 원격 네트워크 공유에서 DLL로드 비활성화
2. WebDAV에서 DLL 파일로드 해제
3. WebClient 서비스를 완전히 사용하지 않도록 설정하거나 수동으로 설정
4. TCP 포트 445 및 139가 컴퓨터 손상에 가장 많이 사용되므로 차단
5. 운영 체제에 최신 업데이트 설치 시스템 및 보안 소프트웨어를 포함합니다.

Microsoft 는 DLL로드 하이재킹 공격을 차단하는 도구를 출시했습니다. 이 도구는 응용 프로그램이 DLL 파일의 코드를 안전하지 않게로드하는 것을 방지하여 DLL 하이재킹 공격의 위험을 완화합니다.

기사에 아무 것도 추가하고 싶지 않은 경우 아래에 의견을 말하십시오.