DLL , Dinamik Bağlantı Kitaplıkları^{(Dynamic Link Libraries)} anlamına gelir ve Windows veya başka herhangi bir işletim sisteminde çalışan uygulamaların harici parçalarıdır . Çoğu uygulama kendi içinde tam değildir ve kodu farklı dosyalarda saklar. Eğer koda ihtiyaç varsa ilgili dosya belleğe yüklenir ve kullanılır. Bu, RAM^(RAM) kullanımını optimize ederken uygulama dosya boyutunu küçültür . Bu makale, DLL Hijacking'in^{(DLL Hijacking)} ne olduğunu ve nasıl tespit edilip önleneceğini açıklamaktadır.

DLL Dosyaları^(Files) veya Dinamik Bağlantı Kitaplıkları Nedir?^{(Dynamic Link Libraries)}

DLL dosyaları Dinamik Bağlantı Kitaplıklarıdır^{(Dynamic Link Libraries)} ve adından da anlaşılacağı gibi farklı uygulamaların uzantılarıdır. Kullandığımız herhangi bir uygulama belirli kodları kullanabilir veya kullanmayabilir. Bu tür kodlar farklı dosyalarda saklanır ve yalnızca ilgili kod gerektiğinde çağrılır veya RAM'e yüklenir. ^(RAM)Böylece, bir uygulama dosyasını çok büyük olmaktan ve uygulama tarafından kaynak israfını önlemek için kaydeder.

DLL dosyalarının yolu , Windows işletim sistemi tarafından belirlenir . Yol, Global Çevresel Değişkenler^{(Global Environmental Variables)} kullanılarak belirlenir . Varsayılan olarak, bir uygulama bir DLL dosyası isterse, işletim sistemi uygulamanın depolandığı klasöre bakar. Orada bulunamazsa, global değişkenler tarafından ayarlanan diğer klasörlere gider. Yollara bağlı öncelikler vardır ve bu, Windows'un ^(Windows)DLL'leri^(DLLs) hangi klasörlerde arayacağını belirlemesine yardımcı olur . DLL kaçırmanın geldiği yer burasıdır .

DLL Ele Geçirme Nedir?

DLL'ler^(DLLs) uzantılar olduğundan ve makinelerinizdeki hemen hemen tüm uygulamaları kullanmak için gerekli olduğundan, açıklandığı gibi bilgisayarda farklı klasörlerde bulunurlar. Orijinal DLL dosyası, kötü amaçlı kod içeren sahte bir DLL dosyasıyla değiştirilirse, ^(DLL)DLL Hijacking olarak bilinir .

Daha önce de belirtildiği gibi, işletim sisteminin DLL dosyalarını nerede aradığına ilişkin öncelikler vardır. İlk^(First) önce uygulama klasörüyle aynı klasöre bakar ve ardından işletim sisteminin ortam değişkenleri tarafından belirlenen önceliklere göre aramaya başlar. Bu nedenle, SysWOW64^(SysWOW64) klasöründe bir good.dll dosyası varsa ve birisi bad.dll'yi SysWOW64 klasörüne göre daha yüksek önceliğe sahip bir klasöre yerleştirirse , işletim sistemi, DLL ile aynı ada sahip olduğu için bad.dll dosyasını kullanır. uygulama tarafından talep edilmiştir. RAM'e^(RAM) girdikten sonra dosyada bulunan kötü amaçlı kodu çalıştırabilir ve bilgisayarınızı veya ağlarınızı tehlikeye atabilir.

DLL Ele Geçirme nasıl tespit edilir

DLL ele geçirmeyi tespit etmenin ve önlemenin en kolay yolu, üçüncü taraf araçları kullanmaktır. Piyasada bir DLL hack girişimini tespit etmeye ve bunu önlemeye yardımcı olan bazı iyi ücretsiz araçlar bulunmaktadır.

Böyle bir program DLL Hijack Auditor'dır^{(DLL Hijack Auditor)} , ancak yalnızca 32 bit uygulamaları destekler. Bilgisayarınıza yükleyebilir ve hangi uygulamaların DLL^(DLL) ele geçirmesine karşı savunmasız olduğunu görmek için tüm Windows uygulamalarınızı tarayabilirsiniz . Arayüz basit ve açıklayıcıdır. Bu uygulamanın tek dezavantajı 64 bit uygulamaları tarayamamanızdır.

DLL ele  geçirmeyi algılamak için başka bir program olan DLL_HIJACK_DETECT GitHub aracılığıyla kullanılabilir . Bu program, herhangi birinin DLL^(DLL) ele geçirmeye karşı savunmasız olup olmadığını görmek için uygulamaları kontrol eder . Varsa, program kullanıcıyı bilgilendirir. Uygulamanın iki sürümü vardır - x86 ve x64 , böylece her birini sırasıyla hem 32 bit hem de 64 bit uygulamaları taramak için kullanabilirsiniz.

Yukarıdaki programların yalnızca Windows platformundaki uygulamaları güvenlik açıkları için taradığını ve aslında DLL dosyalarının ele geçirilmesini engellemediğini belirtmek gerekir.

DLL Ele Geçirme nasıl önlenir

Güvenlik sistemlerinizi güçlendirmek dışında yapabileceğiniz pek bir şey olmadığından, sorun ilk etapta programcılar tarafından çözülmelidir. Göreli bir yol yerine programcılar mutlak bir yol kullanmaya başlarsa, güvenlik açığı azaltılacaktır. Mutlak yolu okumak, Windows veya başka herhangi bir işletim sistemi, yol için sistem değişkenlerine bağlı olmayacak ve doğrudan amaçlanan DLL için gidecek , böylece aynı DLL adını daha yüksek öncelikli bir yola yükleme şansını ortadan kaldıracaktır. Bu yöntem de hatasız değildir çünkü sistem tehlikeye girerse ve siber suçlular DLL dosyasının tam yolunu biliyorsa orijinal^(DLL) DLL'yi sahte DLL^(DLL) ile değiştirirler .^(DLL). Bu, orijinal DLL'nin^(DLL) kötü amaçlı koda dönüştürülmesi için dosyanın üzerine yazmak olacaktır . Ancak yine, siber suçlunun DLL dosyasını^(DLL) çağıran uygulamada belirtilen kesin yolu bilmesi gerekecektir . Süreç siber suçlular için zorludur ve bu nedenle güvenilebilir.

Yapabileceklerinize geri dönersek, Windows sisteminizi daha iyi güvenceye almak^{(secure your Windows system)} için güvenlik sistemlerinizi büyütmeye çalışın . İyi bir güvenlik duvarı^(firewall) kullanın . Mümkünse, bir donanım güvenlik duvarı kullanın veya yönlendirici güvenlik duvarını açın. Bilgisayarınızla oynamaya çalışan birinin olup olmadığını anlamak için iyi izinsiz giriş tespit sistemleri kullanın.

Bilgisayarlarda sorun giderme ile ilgileniyorsanız, güvenliğinizi artırmak için aşağıdakileri de gerçekleştirebilirsiniz:

1. Uzak ağ paylaşımlarından DLL^(DLL) yüklemesini devre dışı bırak
2. WebDAV'dan ^(WebDAV)DLL dosyalarının yüklenmesini devre dışı bırak
3. WebClient hizmetini tamamen devre dışı bırakın veya manuel olarak ayarlayın
4. ^(Block)Bilgisayarları tehlikeye atmak için en çok kullanıldığı için 445 ve 139 numaralı TCP bağlantı noktalarını ^(TCP)engelleyin
5. İşletim sistemi ve güvenlik yazılımı için en son güncellemeleri yükleyin.

Microsoft , DLL yük kaçırma saldırılarını engellemek için bir araç yayımladı . Bu araç, uygulamaların DLL^(DLL) dosyalarından güvenli olmayan bir şekilde kod yüklemesini önleyerek DLL ele geçirme saldırıları riskini azaltır .

Makaleye eklemek istediğiniz bir şey varsa, lütfen aşağıya yorum yapın.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external pаrts оf applіcatіons that run on Windows or any other operating system. Most applications are not complete in themselνes and store code in different files. If there is а need for the code, the related file is loаded into memory and used. This reducеs application file ѕizе while optimizing the usage of RAM. This article explains what iѕ DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

1. Disable DLL loading from remote network shares
2. Disable loading of DLL files from WebDAV
3. Disable WebClient service completely or set it to manual
4. Block the TCP ports 445 and 139 as they are used most for compromising computers
5. Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Related posts

• Uzak Access Trojan nedir? Önleme, Detection & Removal

• Fileless Malware Attacks, Protection and Detection

• Phishing Scams and Attacks Nasıl Kaçınılır?

• Cyber Attacks - Tanım, Types, Önleme

• Browser Hijacking and Free Browser Hijacker Removal Tools

• Land saldırılarından kaç yaşıyorlar? Nasıl Güvende Kalmak?

• Bir computer virus, Trojan, Work, spyware or malware nasıl alabilirsin?

• Cryptojecking Yeni browser mining threat'ü bilmeniz gereken

• CandyOpen nedir? CandyOpen Windows 10'den nasıl kaldırılır?

• Chrome Malware Scanner çalıştırırken Fix Search başarısız hatası

• Bilgisayarınızı Thunderspy attack'e karşı korumak için ipuçları

• İpuçları güvenli Windows 11/10 - Nasıl Malware önlemek için

• Service Attacks'ün DDoS Distributed Denial: Koruma, Prevention

• IObit Malware Fighter Free review & download

• Task Manager içinde Microsoft Windows Logo process; Bir virüs mi?

• Prevent Drive-by İndirme ve ilgili kötü amaçlı yazılım saldırıları

• Bir dosyayı taramak için en iyi çevrimiçi Online Malware Scanners

• Rootkit nedir? Rootkits nasıl çalışır? Rootkits açıkladı

• FileRepMalware nedir? Kaldırmalısın mı?

• Remove virus USB Flash Drive'dan Command Prompt or Batch File'u kullanma