Chiếm quyền điều khiển DLL là một cuộc tấn công mạng phổ biến và khó phát hiện, cho phép tin tặc thực thi mã độc hại bằng tệp Thư viện liên kết động. Kiểu tấn công này có thể được sử dụng để đánh cắp dữ liệu, leo thang đặc quyền và thiết lập sự tồn tại trên tài khoản, khiến nó trở thành mối đe dọa nghiêm trọng đối với các tổ chức cũng như cá nhân.
Vì vậy, những gì thực sự là chiếm quyền điều khiển DLL? Làm thế nào bạn có thể ngăn mình trở thành nạn nhân?
Tệp DLL là gì?
DLL là viết tắt của Thư viện liên kết động. Tệp Thư viện liên kết động chứa các hướng dẫn và quy tắc mà các chương trình khác trên máy tính hoặc thiết bị sử dụng để chạy và hoạt động hiệu quả.
Tệp DLL giống như sách hướng dẫn lắp ráp đồ chơi. Sách hướng dẫn này chứa tất cả các hướng dẫn bạn cần để xây dựng và lắp ráp nó. Điều tuyệt vời ở đây là sách hướng dẫn được viết theo cách mà người khác có thể đọc và lắp ráp đồ chơi của riêng họ.
Đây là cách một tệp DLL hoạt động. Nhiều chương trình chia sẻ tệp DLL vì chúng chứa các hướng dẫn có thể được sử dụng cho các chương trình khác. Tệp DLL có thể chứa hướng dẫn hiển thị một loại hình ảnh nhất định trên màn hình hoặc để kết nối với cơ sở dữ liệu.
Các tệp DLL được sử dụng trên hệ điều hành Windows và có phần mở rộng .dll được đính kèm.
Chiếm quyền điều khiển DLL là gì?
Chiếm quyền điều khiển DLL là một cuộc tấn công mạng cho phép kẻ tấn công thực thi mã độc hại bằng cách thay thế các tệp DLL hợp pháp bằng các tệp độc hại. Cuộc tấn công này rất khó phát hiện và ngăn chặn vì nó thường liên quan đến việc sử dụng các tệp và quy trình hợp pháp. Hầu như tất cả các chương trình trên máy tính của bạn đều sử dụng một hoặc nhiều tệp DLL và nhiều tệp được tải khi bạn khởi động máy tính. Nếu một tệp DLL độc hại được thực thi trên hệ thống của bạn, rất có thể nó sẽ dẫn đến vi phạm.
Có một số cách mà việc chiếm quyền điều khiển DLL có thể xảy ra, chẳng hạn như thông qua các chiến thuật lừa đảo hoặc kỹ thuật xã hội lừa người dùng tải xuống và thực thi một tệp độc hại. Sau khi tệp này được thực thi, nó có thể khai thác các lỗ hổng trong hệ thống hoặc chương trình sử dụng tệp DLL, cho phép kẻ tấn công đánh cắp dữ liệu, leo thang đặc quyền hoặc chiếm quyền kiểm soát hệ thống.
Việc chiếm quyền điều khiển DLL có thể đặc biệt nguy hiểm vì nó hoạt động không được chú ý và có thể gây ra tác hại đáng kể. Điều quan trọng là phải nhận thức được kiểu tấn công này và thực hiện các bước để bảo vệ chống lại nó.
DLL Hijacking hoạt động như thế nào?
Một cuộc tấn công chiếm quyền điều khiển DLL điển hình hoạt động như sau:
- Kẻ tấn công mạng xác định một chương trình tải các tệp DLL động, thay vì liên kết tĩnh với chúng tại thời điểm biên dịch.
- Kẻ tấn công xác định thứ tự tìm kiếm mà chương trình sử dụng để định vị tệp DLL. Điều này có thể bao gồm thư mục làm việc hiện tại, thư mục hệ thống và các thư mục khác được chỉ định trong biến môi trường PATH.
- Tin tặc đặt một tệp DLL độc hại vào một vị trí mà chương trình sẽ tìm kiếm trước tệp hợp pháp. Ví dụ: họ có thể đặt tệp DLL độc hại vào thư mục làm việc hiện tại nếu chương trình tìm kiếm thư mục hiện tại trước thư mục hệ thống.
- Khi nạn nhân chạy chương trình, nó sẽ cố tải tệp DLL được yêu cầu. Vì tệp DLL độc hại nằm trong thư mục được tìm kiếm trước thư mục hợp pháp nên chương trình sẽ tải tệp DLL độc hại thay thế.
- DLL độc hại sau đó có thể thực thi bất kỳ mã nào mà nó muốn, có khả năng cho phép kẻ tấn công kiểm soát máy của nạn nhân.
Việc chiếm quyền điều khiển DLL cũng có thể xảy ra do các cuộc tấn công lừa đảo và kỹ thuật xã hội thay vì tin tặc đã có trong hệ thống. Một người cả tin có thể bị lừa tải xuống một tài liệu độc hại. Vì tên vẫn không thay đổi nên hệ điều hành không nghi ngờ gì. Kẻ tấn công trong hệ thống cũng có thể chèn mã vào tệp DLL đã có sẵn và thay đổi cách thức hoạt động của tệp, hỗ trợ cuộc tấn công mạng.
Các cuộc tấn công chiếm quyền điều khiển DLL có thể rất nguy hiểm. Chúng có thể được sử dụng để:
- Ăn cắp thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập hoặc dữ liệu tài chính.
- Kiểm soát hệ thống và thực thi mã tùy ý.
- Sử dụng thỏa hiệp để tấn công các hệ thống hoặc mạng khác.
- Thiết lập tính bền vững trên hệ thống, cho phép tin tặc duy trì quyền truy cập ngay cả sau khi người dùng đăng xuất hoặc khởi động lại hệ thống.
- Nâng cao đặc quyền, cho phép kẻ tấn công truy cập vào các khu vực của hệ thống mà thông thường chúng không thể truy cập được.
Cách ngăn chặn việc chiếm quyền điều khiển DLL
Các cuộc tấn công chiếm quyền điều khiển DLL có thể tránh được bằng cách tuân thủ các quy trình sau.
Tận dụng các đường dẫn đủ điều kiện
Việc chiếm quyền điều khiển DLL xảy ra do tệp DLL độc hại được đặt ở vị trí được Windows tìm kiếm trước tệp hợp pháp. Sử dụng các đường dẫn đủ điều kiện khi tải tệp DLL có thể ngăn Windows tìm kiếm tệp DLL ở các vị trí không mong muốn.
Chỉ sử dụng phần mềm đáng tin cậy
Chỉ sử dụng phần mềm được ký điện tử và được xác minh bởi một nguồn đáng tin cậy. Điều này cho thấy rằng phần mềm đã không bị giả mạo. Ngoài ra, hãy đảm bảo rằng phần mềm và hệ điều hành của bạn luôn được cập nhật, nghĩa là mọi lỗ hổng đã biết đều được vá.
Một khuyến nghị khác là sử dụng danh sách trắng ứng dụng, chỉ cho phép các chương trình được chỉ định chạy trên hệ thống; điều này giúp ngăn chặn bất kỳ ứng dụng không đáng tin cậy nào chạy.
Sử dụng Tường lửa và Antivirus
Điều quan trọng là sử dụng tường lửa hoặc phần mềm bảo mật khác như phần mềm chống vi-rút để ngăn truy cập trái phép vào hệ thống của bạn và liên tục theo dõi hệ thống để phát hiện mọi hoạt động đáng ngờ hoặc độc hại.
Thực hiện kiểm soát truy cập thích hợp
Một thực hành quan trọng khác có thể giúp ngăn chặn việc chiếm quyền điều khiển DLL là sử dụng các điều khiển truy cập trên các thư mục lưu trữ các tệp DLL. Điều này có thể giúp đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể đọc hoặc ghi vào các thư mục này và có thể ngăn kẻ tấn công đặt một tệp DLL độc hại vào một thư mục mà chương trình dễ bị tấn công có thể tải tệp đó.
Ngoài ra, tránh sử dụng tài khoản quản trị viên hoặc tài khoản đặc quyền để chạy phần mềm, đặc biệt là các ứng dụng bên thứ ba không đáng tin cậy.
Các phương pháp phòng ngừa khác bao gồm tiến hành kiểm tra bảo mật thường xuyên trên hệ thống của bạn để kiểm tra mọi lỗ hổng tiềm ẩn và lập trình có ý thức bảo mật.
Việc có một tình trạng bảo mật tốt trong tổ chức của bạn không chỉ ngăn chặn các cuộc tấn công như chiếm quyền điều khiển DLL mà còn giữ cho tổ chức của bạn an toàn trước các cuộc tấn công mạng khác. Điều quan trọng là phải thường xuyên tiến hành đào tạo nâng cao nhận thức về bảo mật, luôn cập nhật hệ thống và thực hiện các biện pháp bảo mật tốt nhất khác để giữ an toàn cho tổ chức của bạn.
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/what-is-dll-hijacking/
Bình luận (0
)