خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

ربودن DLL چیست و چگونه می توان از آن جلوگیری کرد؟

ارشیا یوسفی ادیب ۲۸ دی, ۱۴۰۱ 5 min read

فایل‌های DLL بخش مهمی از ویندوز هستند، اما می‌توانند شما را در معرض هک قرار دهند. در اینجا چیزی است که شما باید بدانید.

ربودن DLL یک حمله سایبری رایج و دشوار است که به هکرها اجازه می دهد کدهای مخرب را با استفاده از فایل Dynamic Link Library اجرا کنند. این نوع حمله را می توان برای استخراج داده ها، افزایش امتیازات و ایجاد پایداری در حساب کاربری استفاده کرد که آن را به یک تهدید جدی برای سازمان ها و افراد تبدیل می کند.

بنابراین در واقع ربودن DLL چیست؟ چگونه می توانید جلوی قربانی شدن خود را بگیرید؟

فایل DLL چیست؟

DLL مخفف Dynamic Link Library است. فایل Dynamic Link Library حاوی دستورالعمل‌ها و قوانینی است که سایر برنامه‌های رایانه یا دستگاه برای اجرا و عملکرد مؤثر از آن‌ها استفاده می‌کنند.

یک فایل DLL مانند کتابچه راهنمای مونتاژ یک اسباب بازی است. این راهنما حاوی تمام دستورالعمل هایی است که برای ساخت و مونتاژ آن نیاز دارید. نکته مهم در مورد آن این است که دفترچه راهنما به گونه ای نوشته شده است که شخص دیگری می تواند آن را بخواند و اسباب بازی خود را جمع کند.

یک فایل DLL اینگونه کار می کند. بیش از یک برنامه یک فایل DLL را به اشتراک می گذارد زیرا حاوی دستورالعمل هایی است که می تواند برای برنامه های دیگر استفاده شود. یک فایل DLL ممکن است حاوی دستورالعمل هایی برای نمایش نوع خاصی از تصویر بر روی صفحه یا برای اتصال به پایگاه داده باشد.

فایل های DLL در سیستم عامل های ویندوز استفاده می شوند و پسوند .dll به آنها متصل شده است.

ربودن DLL چیست؟

ربودن DLL یک حمله سایبری است که به مهاجم اجازه می دهد تا کدهای مخرب را با جایگزین کردن فایل های DLL قانونی با فایل های مخرب اجرا کند. شناسایی و جلوگیری از این حمله دشوار است زیرا اغلب شامل استفاده از فایل‌ها و فرآیندهای قانونی می‌شود. تقریباً همه برنامه های رایانه شما از یک یا چند فایل DLL استفاده می کنند و بسیاری از آنها پس از راه اندازی رایانه بارگیری می شوند. اگر یک فایل DLL مخرب بر روی سیستم شما اجرا شود، به احتمال زیاد منجر به رخنه خواهد شد.

مطلب مرتبط:   Sprawl هویت چیست و چگونه می توان آن را کاهش داد؟

راه‌های مختلفی برای ربودن DLL وجود دارد، مانند تاکتیک‌های فیشینگ یا مهندسی اجتماعی که کاربر را فریب می‌دهد تا یک فایل مخرب را دانلود و اجرا کند. پس از اجرای این فایل، می‌تواند از آسیب‌پذیری‌های موجود در سیستم یا برنامه‌ای که از فایل DLL استفاده می‌کند سوء استفاده کند و به مهاجم اجازه دهد داده‌ها را بدزدد، امتیازات را افزایش دهد یا کنترل سیستم را در دست بگیرد.

ربودن DLL می تواند به ویژه خطرناک باشد زیرا بدون توجه عمل می کند و می تواند آسیب قابل توجهی ایجاد کند. مهم است که از این نوع حمله آگاه باشید و اقدامات لازم را برای محافظت در برابر آن انجام دهید.

چگونه DLL Hijacking کار می کند؟

زنی که روی صفحه کلید تایپ می کند

یک حمله ربودن DLL معمولی به این صورت عمل می کند:

  1. مهاجم سایبری برنامه ای را شناسایی می کند که فایل های DLL را به صورت پویا بارگیری می کند، به جای اینکه در زمان کامپایل به آنها به صورت ایستا لینک شود.
  2. مهاجم ترتیب جستجویی را که برنامه برای مکان یابی فایل های DLL استفاده می کند، تعیین می کند. این ممکن است شامل دایرکتوری فعلی، دایرکتوری سیستم و سایر دایرکتوری های مشخص شده در متغیر محیطی PATH باشد.
  3. هکر یک فایل DLL مخرب را در مکانی قرار می دهد که قبل از فایل قانونی توسط برنامه جستجو می شود. به عنوان مثال، اگر برنامه قبل از دایرکتوری سیستم، دایرکتوری فعلی را جستجو کند، ممکن است DLL مخرب را در فهرست کاری فعلی قرار دهند.
  4. هنگامی که قربانی برنامه را اجرا می کند، سعی می کند فایل DLL مورد نیاز را بارگیری کند. از آنجایی که DLL مخرب در پوشه ای قرار دارد که قبل از DLL قانونی جستجو می شود، برنامه به جای آن DLL مخرب را بارگیری می کند.
  5. سپس DLL مخرب می تواند هر کدی را که می خواهد اجرا کند و به طور بالقوه به مهاجم اجازه می دهد تا کنترل ماشین قربانی را در دست بگیرد.
مطلب مرتبط:   بهترین معاملات آفیس مایکروسافت در حال حاضر

ربودن DLL همچنین می تواند به دلیل مهندسی اجتماعی و حملات فیشینگ به جای اینکه هکر از قبل در سیستم باشد رخ دهد. ممکن است یک فرد ناآگاه برای دانلود یک سند مخرب فریب بخورد. از آنجایی که نام بدون تغییر باقی مانده است، سیستم عامل به هیچ چیز مشکوک نیست. یک مهاجم در سیستم همچنین می تواند کد را به یک فایل DLL موجود تزریق کند و نحوه عملکرد فایل را تغییر دهد و به حمله سایبری کمک کند.

حملات ربودن DLL می تواند بسیار خطرناک باشد. می توان از آنها استفاده کرد:

  • سرقت اطلاعات حساس، مانند اعتبار ورود به سیستم یا داده های مالی.
  • کنترل سیستم را در دست بگیرید و کد دلخواه را اجرا کنید.
  • از سازش برای حمله به سیستم ها یا شبکه های دیگر استفاده کنید.
  • پایداری را در سیستم ایجاد کنید و به هکر اجازه دهید حتی پس از خروج کاربر یا راه اندازی مجدد سیستم، دسترسی خود را حفظ کند.
  • امتیازات را افزایش دهید و به هواپیماربای اجازه دسترسی به مناطقی از سیستم را بدهید که معمولاً قادر به دسترسی به آن نیستند.

چگونه از ربودن DLL جلوگیری کنیم

لوگوی امنیتی

با رعایت مراحل زیر می توان از حملات ربودن DLL جلوگیری کرد.

از مسیرهای کاملاً واجد شرایط استفاده کنید

ربودن DLL به این دلیل اتفاق می افتد که یک فایل DLL مخرب در مکانی قرار می گیرد که قبل از فایل قانونی توسط ویندوز جستجو می شود. استفاده از مسیرهای کاملاً واجد شرایط هنگام بارگیری DLL ها می تواند از جستجوی DLL در مکان های غیرمنتظره توسط ویندوز جلوگیری کند.

فقط از نرم افزارهای قابل اعتماد استفاده کنید

فقط از نرم افزارهایی استفاده کنید که به صورت دیجیتال امضا شده و توسط یک منبع قابل اعتماد تأیید شده است. این نشان می دهد که نرم افزار دستکاری نشده است. همچنین، مطمئن شوید که نرم افزار و سیستم عامل شما همیشه به روز هستند، به این معنی که هر آسیب پذیری شناخته شده وصله شده است.

مطلب مرتبط:   آدرس IP کثیف چیست و چه تاثیری بر امنیت شما دارد؟

توصیه دیگر استفاده از لیست سفید برنامه است که فقط به برنامه های مشخص شده اجازه می دهد روی سیستم اجرا شوند. این به جلوگیری از اجرای هر برنامه غیرقابل اعتماد کمک می کند.

استفاده از فایروال و آنتی ویروس

استفاده از فایروال یا سایر نرم افزارهای امنیتی مانند آنتی ویروس برای جلوگیری از دسترسی غیرمجاز به سیستم و نظارت مداوم آن برای هرگونه فعالیت مشکوک یا مخرب بسیار مهم است.

پیاده سازی کنترل های دسترسی مناسب

روش مهم دیگری که می تواند به جلوگیری از ربودن DLL کمک کند، استفاده از کنترل های دسترسی در دایرکتوری هایی است که فایل های DLL در آن ذخیره می شوند. این می تواند به اطمینان حاصل شود که فقط کاربران مجاز قادر به خواندن یا نوشتن در این دایرکتوری ها هستند و می تواند مانع از قرار دادن یک DLL مخرب در دایرکتوری توسط مهاجم شود که در آن یک برنامه آسیب پذیر بارگذاری شود.

همچنین از استفاده از حساب‌های سرپرست یا دارای امتیاز برای اجرای نرم‌افزار، به‌ویژه برنامه‌های غیرقابل اعتماد شخص ثالث، خودداری کنید.

سایر روش‌های پیشگیری شامل انجام ممیزی‌های امنیتی منظم بر روی سیستم‌های شما برای بررسی هرگونه آسیب‌پذیری احتمالی و برنامه‌ریزی آگاهانه امنیتی است.

وضعیت امنیتی خوب را اجرا کنید

داشتن یک وضعیت امنیتی خوب در سازمان شما نه تنها از حملاتی مانند ربودن DLL جلوگیری می کند، بلکه سازمان شما را از سایر حملات سایبری ایمن نگه می دارد. مهم است که آموزش های آگاهی از امنیت را به طور منظم انجام دهید، سیستم ها را به روز نگه دارید، و سایر بهترین روش های امنیتی را برای ایمن نگه داشتن سازمان خود انجام دهید.

Tags: