DLL là viết tắt của Dynamic Link Libraries và là các phần bên ngoài của các ứng dụng chạy trên Windows hoặc bất kỳ hệ điều hành nào khác. Hầu hết các ứng dụng đều không hoàn chỉnh và lưu mã trong các tệp khác nhau. Nếu cần mã, tệp liên quan sẽ được tải vào bộ nhớ và được sử dụng. Điều này làm giảm kích thước tệp ứng dụng trong khi tối ưu hóa việc sử dụng RAM . Bài viết này giải thích DLL Hijacking là gì và cách phát hiện và ngăn chặn nó.

Tệp^(Files) DLL hoặc Thư viện liên kết động là gì^{(Dynamic Link Libraries)}

Các tệp DLL^(DLL) là Thư viện liên kết động^{(Dynamic Link Libraries)} và như rõ ràng theo tên, là phần mở rộng của các ứng dụng khác nhau. Bất kỳ ứng dụng nào chúng tôi sử dụng đều có thể sử dụng hoặc không sử dụng một số mã nhất định. Các mã như vậy được lưu trữ trong các tệp khác nhau và chỉ được gọi hoặc tải vào RAM khi mã liên quan được yêu cầu. Do đó, nó giúp lưu một tệp ứng dụng không trở nên quá lớn và ngăn ứng dụng hoạt động tài nguyên.

Đường dẫn cho tệp DLL^(DLL) được đặt bởi hệ điều hành Windows . Đường dẫn được đặt bằng các Biến Môi trường Toàn cầu^{(Global Environmental Variables)} . Theo mặc định, nếu một ứng dụng yêu cầu tệp DLL^(DLL) , hệ điều hành sẽ xem xét cùng một thư mục mà ứng dụng được lưu trữ. Nếu nó không được tìm thấy ở đó, nó sẽ chuyển đến các thư mục khác như được thiết lập bởi các biến toàn cục. Có các ưu tiên gắn liền với các đường dẫn và nó giúp Windows xác định thư mục nào cần tìm các tệp DLL^(DLLs) . Đây là lúc mà hành vi chiếm quyền điều khiển DLL xuất hiện.

DLL Hijacking là gì

Vì DLL^(DLLs) là phần mở rộng và cần thiết để sử dụng hầu hết tất cả các ứng dụng trên máy của bạn nên chúng hiện diện trên máy tính trong các thư mục khác nhau như đã giải thích. Nếu tệp DLL gốc bị thay thế bằng tệp DLL giả mạo có chứa mã độc hại, nó được gọi là DLL Hijacking .

Như đã đề cập trước đó, có những ưu tiên về nơi hệ điều hành tìm kiếm các tệp DLL . Đầu tiên^(First) , nó tìm kiếm trong cùng một thư mục với thư mục ứng dụng và sau đó đi tìm kiếm, dựa trên các mức độ ưu tiên được thiết lập bởi các biến môi trường của hệ điều hành. Vì vậy, nếu tệp good.dll nằm trong thư mục SysWOW64 và ai đó đặt bad.dll trong thư mục có mức ưu tiên cao hơn so với thư mục SysWOW64 , hệ điều hành sẽ sử dụng tệp bad.dll, vì nó có cùng tên với DLL do ứng dụng yêu cầu. Khi ở trong RAM , nó có thể thực thi mã độc hại có trong tệp và có thể xâm phạm máy tính hoặc mạng của bạn.

Cách phát hiện DLL Hijacking

Phương pháp dễ nhất để phát hiện và ngăn chặn việc chiếm quyền điều khiển DLL là sử dụng các công cụ của bên thứ ba. ^(DLL)Có một số công cụ miễn phí tốt có sẵn trên thị trường giúp phát hiện và ngăn chặn hành vi hack DLL .

Một trong những chương trình như vậy là DLL Hijack Auditor nhưng nó chỉ hỗ trợ các ứng dụng 32-bit. Bạn có thể cài đặt nó trên máy tính và quét tất cả các ứng dụng Windows của mình để xem tất cả các ứng dụng nào dễ bị tấn công DLL . Giao diện đơn giản và dễ hiểu. Hạn chế duy nhất của ứng dụng này là bạn không thể quét các ứng dụng 64-bit.

Một chương trình khác, để phát hiện chiếm quyền điều khiển DLL ,  DLL_HIJACK_DETECT, có sẵn qua GitHub . Chương trình này kiểm tra các ứng dụng để xem có ứng dụng nào dễ bị tấn công DLL hay không. Nếu đúng, chương trình sẽ thông báo cho người dùng. Ứng dụng này có hai phiên bản - x86 và x64 để bạn có thể sử dụng mỗi phiên bản để quét cả ứng dụng 32 bit và 64 bit tương ứng.

Cần lưu ý rằng các chương trình trên chỉ quét các ứng dụng trên nền tảng Windows để tìm ^(Windows)lỗ hổng và không thực sự ngăn chặn việc chiếm đoạt các tệp DLL^(DLL) .

Cách ngăn chặn DLL Hijacking

Vấn đề này nên được các lập trình viên giải quyết ngay từ đầu vì bạn không thể làm được gì nhiều ngoài việc củng cố hệ thống bảo mật của mình. Nếu thay vì một đường dẫn tương đối, các lập trình viên bắt đầu sử dụng một đường dẫn tuyệt đối, thì lỗ hổng sẽ được giảm bớt. Đọc đường dẫn tuyệt đối, Windows hoặc bất kỳ hệ điều hành nào khác sẽ không phụ thuộc vào các biến hệ thống cho đường dẫn và sẽ đi thẳng đến ^(Windows)DLL dự định , do đó loại bỏ cơ hội tải DLL cùng tên trong một đường dẫn có mức độ ưu tiên cao hơn. Phương pháp này cũng không chống được lỗi vì nếu hệ thống bị xâm phạm và tội phạm mạng biết đường dẫn chính xác của DLL , chúng sẽ thay thế DLL gốc bằng DLL ^(DLL)giả^(DLL) .. Đó sẽ là việc ghi đè lên tệp để DLL^(DLL) ban đầu bị thay đổi thành mã độc hại. Nhưng một lần nữa, tội phạm mạng sẽ cần biết chính xác đường dẫn tuyệt đối được đề cập trong ứng dụng gọi DLL . Quá trình này rất khó khăn đối với tội phạm mạng và do đó có thể được tính đến.

Quay lại với những gì bạn có thể làm, chỉ cần cố gắng mở rộng hệ thống bảo mật để bảo mật hệ thống Windows của bạn^{(secure your Windows system)} tốt hơn . Sử dụng tường lửa^(firewall) tốt . Nếu có thể, hãy sử dụng tường lửa phần cứng hoặc bật tường lửa bộ định tuyến. Sử dụng hệ thống phát hiện xâm nhập tốt để bạn biết liệu có ai đang cố gắng chơi với máy tính của bạn hay không.

Nếu bạn đang khắc phục sự cố máy tính, bạn cũng có thể thực hiện các thao tác sau để tăng cường bảo mật của mình:

1. Tắt tải DLL từ chia sẻ mạng từ xa
2. Tắt tải tệp DLL^(DLL) từ WebDAV
3. Tắt hoàn toàn dịch vụ WebClient hoặc đặt nó thành thủ công
4. Chặn^(Block) các cổng TCP 445 và 139 vì chúng được sử dụng nhiều nhất để xâm phạm máy tính
5. Cài đặt các bản cập nhật mới nhất cho hệ điều hành và phần mềm bảo mật.

Microsoft đã phát hành một công cụ để chặn các cuộc tấn công chiếm quyền điều khiển tải DLL . Công cụ này giảm thiểu nguy cơ tấn công chiếm quyền điều khiển DLL bằng cách ngăn các ứng dụng tải mã không an toàn từ các tệp DLL .

Nếu bạn muốn bổ sung điều gì cho bài viết, hãy comment bên dưới.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external рarts оf applications that run on Windows or any other oрerating system. Most applications are nоt complete in themselveѕ and store cоde in different files. If there is a need for the code, the related file is loaded into memory and used. This reducеs applicаtion file size while optimizing the usage of RAM. This article еxplains what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Access Trojan từ xa là gì? Phòng ngừa, Detection & Removal

• Fileless Malware Attacks, Protection and Detection

• Làm thế nào để Tránh Phishing Scams and Attacks?

• Cyber Attacks - Định nghĩa, Types, phòng chống

• Browser Hijacking and Free Browser Hijacker Removal Tools

• FileRepMalware là gì? Bạn có nên loại bỏ nó?

• DDoS Distributed Denial của Service Attacks: Bảo vệ, Prevention

• Backdoor attack là gì? Meaning, Examples, Definitions

• Mẹo để bảo vệ máy tính của bạn chống lại Thunderspy attack

• Programs or Applications có khả năng không mong muốn; Avoid cài đặt PUP/PUA

• Cách ngăn chặn Malware - Mẹo bảo đảm Windows 11/10

• Làm thế nào để kiểm tra xem một tập tin là độc hại hay không trên Windows 11/10

• Crystal Security là Malware Detection Tool dựa trên Cloud miễn phí cho PC

• Rogue Security Software or Scareware: Làm thế nào để kiểm tra, ngăn chặn, loại bỏ?

• Win32: BogEnt là gì và làm thế nào để loại bỏ nó?

• Cyber crime là gì? Làm thế nào để đối phó với nó?

• Cách xóa Virus Alert khỏi Microsoft trên Windows PC

• CandyOpen là gì? Làm thế nào để loại bỏ CandyOpen từ Windows 10?

• Làm thế nào để Hủy bỏ Chromium Virus từ Windows 11/10

• Online Malware Scanners trực tuyến tốt nhất để quét một tập tin