Идентифицирайте опасни DLL файлове на вашата система Windows 11

  • Разберете важността на DLL файловете и риска от атаки за отвличане на DLL файлове.
  • Открийте методи и инструменти за статичен и динамичен анализ, за ​​да идентифицирате злонамерени DLL файлове в Windows.
  • Научете примери от реалния живот и най-добри практики за предотвратяване и смекчаване на атаки, използващи опасни DLL файлове.
Daniel Terrasa

7 Minutos

идентифициране на DLL файлове

В света на киберсигурността, Злонамерените DLL файлове представляват един от най-често срещаните и опасни вектори на атака за Windows системи. Разбирането как произхождат тези файлове, какви техники използват нападателите и наличните методи за тяхното откриване се е превърнало във фундаментална задача както за специалистите по компютърна сигурност, така и за ентусиастите.

В тази публикация ви казваме Как можете да идентифицирате опасни DLL файловеТоест, как се случва отвличането на DLL файлове и какви са идеалните методи и инструменти за анализ на този тип заплаха.

Какво е DLL и защо може да бъде опасно?

Динамично свързани библиотеки, по-известни като DLL файлове (Dynamic Link Library), са основни файлове в екосистемата на Windows. Зареждани в паметта при поискване от приложенията и самата операционна система, те съдържат функции, рутини и ресурси за многократна употреба, които улесняват ефективната работа на програмите.

Опасността от DLL идва от способността му да изпълнява код и да манипулира критични процеси. Много заплахи използват начина, по който Windows локализира и зарежда DLL файлове, за да инжектират злонамерен код, да заобикалят контролите или скрито да се установят в системата.

Отвличане на DLL

Отвличане на DLL файлове: Как работи отвличането на DLL файлове?

Отвличане на DLL файлове (Отвличане на DLL) е техника, която използва начина, по който приложенията търсят и зареждат библиотеки в Windows. Ако дадено приложение не посочи пълния път до необходимата му DLL, Windows следва предварително дефиниран ред на търсене през няколко директории.

Нападателят се възползва от това чрез поставяне на злонамерен DLL файл със същото име като легитимния в директория, където приложението може да го намери преди оригинала. Когато приложението го зареди, злонамереният код се изпълнява със същите привилегии като оригиналния процес.

Команди за търсене на DLL файлове в Windows

Поведението при търсене варира в зависимост от това дали е активиран режимът за безопасно търсене.

  • С активирано безопасно търсене: Директория на приложенията, система, 16-битова система, Windows, текуща директория, PATH пътища.
  • С деактивирано безопасно търсене: Директория на приложенията, текуща директория, система, 16-битова система, Windows, PATH пътища.

Видове атаки за отвличане на DLL файлове

  • Настройка на известната DLL: Модифициране на ключове в системния регистър, за да се промени списъкът с известни системни DLL файлове и да се пренасочи зареждането към злонамерен DLL файл.
  • Странично зареждане на DLL: Вмъкване на фалшиви DLL файлове в директорията на WinSxS или манипулиране на манифести на зависимости.
  • Отвличане на Ghost DLL: Използване на стари или рядко използвани DLL имена, възползвайки се от факта, че много приложения се опитват да заредят тези файлове по подразбиране.

Във всички случаи, Целта е злонамерената DLL библиотека да се постави в привилегирован път на системата за търсене, така че тя да се зареди вместо оригинала.

DLL

Системни DLL файлове: Най-уязвими за атаки

Някои DLL файлове често са обект на атаки поради тяхната важност и критична функционалност в Windows:

  • KERNEL32.dll: Манипулация на паметта, файловете и процесите.
  • Advapi32.dll: Разширени функции за регистрация и управление на услуги.
  • User32.dll: Управление на графичния интерфейс и потребителските отговори.
  • Gdi32.dll: Манипулация на графики и визуално представяне.
  • Ntdll.dll: Ключов интерфейс към ядрото на Windows, податлив на злоупотреба за скриване на неоторизирани процеси или функции.
  • WSock32.dll и Ws2_32.dll: Необходим в мрежовите комуникации.
  • Wininet.dll: Мрежови протоколи от високо ниво, включително HTTP, FTP и NTP.

Наличието или аномалното използване на тези файлове може да показва подозрителна активност или наличие на злонамерен софтуер.

Как да идентифицираме опасни DLL файлове?

Идентифициране на потенциално злонамерени DLL файлове Може да се направи статично или динамично. Всеки подход предоставя допълнителни данни и е по-ефективен при комбинирането им в цялостно проучване.

статичен анализ

Статичният анализ включва изследване на структурата и зависимостите на DLL файл, без реално да се изпълнява в системата. Това минимизира риска от инфекция и позволява получаването на ценни данни за неговия състав, експортираните и импортираните функционалности и евентуалното обфускация.

Някои препоръчителни инструменти:

  • PEiD: Показва информация за импортиране и експортиране на DLL, което ви позволява да идентифицирате кои вътрешни библиотеки зарежда и кои функции използва. Това е много полезно за откриване дали привидно проста DLL импортира подозрителни функции като WriteFile.
  • Уокър на зависимост: Позволява ви да инспектирате както изпълними файлове, така и DLL файлове, показвайки дървото на зависимостите и кои специфични функции ще бъдат извикани чрез всяка импортирана DLL.
  • Преглед: Той предоставя бърз преглед на вътрешната структура на PE файла, включително таблиците за импортиране и експортиране и данни, като например времевия печат на създаване, което може да даде представа за свързани кампании със зловреден софтуер.

Този вид анализ е от съществено значение За да определи дали дадена DLL библиотека е легитимно обфусцирана, тя използва пакетиращи файлове или може да зареди допълнителни зависимости по време на изпълнение.

Динамичен анализ

Динамичният анализ включва Стартирайте DLL файла в контролирана среда (за предпочитане виртуална машина или пясъчник) и наблюдавайте поведението му. Именно тук инструменти като Process Monitor (Procmon) показват пълния си потенциал, тъй като ви позволяват да наблюдавате в реално време кои файлове и библиотеки се зареждат, променят или създават.

Тази техника, макар и проста, изисква повишено внимание, тъй като вмъкването на дефектни DLL файлове може да наруши функционалността на оригиналното приложение.

Разширени инструменти и автоматизация: aDLL, Microsoft Detours и други

За тези, които търсят покриване на големи обеми изпълними файлове или автоматизиране на анализ, има помощни програми като aDLL, разработен като отворен код в GitHub. Този инструмент ви позволява автоматично да анализирате двоичните файлове, да извличате DLL файловете, които се опитват да заредят (по време на зареждане, по време на изпълнение или със забавено зареждане) и дори автоматично да проверявате кои от тях биха могли да доведат до отвличане на софтуер (hijacking).

Работата на aDLL или подобни помощни програми се основава на проверете таблицата за импортиране на изпълнимите файлове (Импортиране на таблица с адреси) и с помощта на библиотеки като Microsoft Detours, прехващане на повиквания към LoadLibrary и неговите варианти. Това не само позволява идентифициране на кандидати за отвличане на ресурси, но и извършване на автоматизирани тестове – например чрез копиране на тестова DLL библиотека в съответния път и проверка дали тя действително е заредена.

Как да предотвратим атаки за отвличане на DLL файлове

В допълнение към откриването, Още по-важно е да се предотврати отвличането на DLL файлове. Това включва действия на ниво разработка, системна администрация и осведоменост на персонала.

Най-добри практики

  • Сигурно криптиране: Разработчиците винаги трябва да посочват пълния път до необходимите DLL файлове, като избягват относителни или неопределени пътища.
  • Непрекъснато актуализиране и наблюдение: Поддържането на актуален софтуер и антивирусен софтуер е ключово за откриване и блокиране на нови опити за инжектиране на DLL файлове.
  • Обучение на персонала: Научете потребителите да разпознават техники за фишинг и социално инженерство, тъй като повечето атаки изискват известна степен на човешко взаимодействие.
  • Управление на риска при доставчиците и веригата за доставки: Проверката на сигурността на доставчиците и наблюдението на веригите за доставки могат да предотвратят въвеждането на злонамерени DLL файлове, цифрово подписани от доверени трети страни.
  • Използване на решения като DLLSPY: Този инструмент, достъпен в GitHub, помага за откриване на отвличания на DLL файлове и уязвимости за ескалация на привилегии.

Разберете Идентифицирането и предотвратяването на зареждането на опасни DLL файлове изисква както внимателен анализ на файлове и процеси, така и прилагането на добри практики за разработка и администриране. Както професионалистите, така и напредналите потребители могат да внедрят тези методи, за да засилят сигурността на Windows системите и да я направят значително по-трудна за нападателите.