Araştırmacılara göre, DLL yandan yükleme, kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) dosyasını seçer ve onu orijinal, güvenilir bir uygulama tarafından yüklenip yürütülebileceği belirli bir alanda depolar. Uygulamanın DLL’yi belirli bir konumdan yükleyebildiğini ve DLL’yi yüklemeden önce orijinalliğini ve bütünlüğünü doğru şekilde doğrulamak üzere yapılandırıldığını varsayalım. Bu durumda, bir yük oluşturmak ve aynı anda kurbanlarının cihazlarında yürütmek için aşağıdaki prosedürü otomatikleştirebildikleri için bilgisayar korsanının işi kolaylaşır.
Tanınmış tehdit aktörleri, DLL dosyalarını kullanan uygulamalardan, sürümlerini beklenen yerlere ekleyerek ve uygulamayı yanıltarak çalıştırması için yararlanır. DLL yandan yüklemeyle ilgili dikkat edilmesi gereken bir diğer önemli nokta da, kötü amaçlı DLL bazen standart bir DLL olarak kamufle edildiğinden ve görünürde herhangi bir kötü niyetli davranış sergilemeyebileceğinden, bu saldırıların tespit edilmesinin zor olabileceğidir.
Bir tehdit aktörü bir uygulamaya kötü amaçlı bir DLL’yi başarılı bir şekilde eklerse, bir baypas saldırısı, saldırgana kurbanın bilgisayarlarında hedeflenen programın ayrıcalıklarıyla kod yürütme yeteneği verebilir ve bu da potansiyel olarak hassas bilgilere yetkisiz erişim elde etmelerine veya performans göstermelerine olanak tanır. diğer zararlı eylemler.
Bilgisayar korsanları neden DLL yandan yükleme kullanıyor?
Bilgisayar korsanları için çeşitli teknikler mevcut olsa da, bazıları hala DLL yandan yüklemeyi kullanıyor. Ancak bu teknik, bir kurbanın sisteminde ayrıcalık kazanma yeteneği açısından benzersizdir. Bir DLL yandan yükleme saldırısının uygulama kolaylığı, onu bilgisayar korsanları için oldukça erişilebilir kılar – diğer önemli bilgisayar korsanlığı becerilerinde henüz ustalaşmamış olanlar bile!
DLL yandan yükleme saldırılarının gerçekleştirilmesi nispeten kolaydır, özellikle de bir saldırgan kötü niyetli DLL’lerini meşru bir uygulamanın yükleyeceği bir konuma yerleştirmenin bir yolunu bulabilirse.
Ayrıca, DLL yandan yükleme saldırılarını tespit etmek zor olabilir çünkü kötü amaçlı DLL genellikle meşru bir DLL kılığına girer ve hemen görünen herhangi bir kötü niyetli davranış sergilemeyebilir. Bir uygulama aracılığıyla daha yüksek ayrıcalıklara sahip olma olasılığı, saldırıya daha fazla ağırlık katar çünkü bir uygulamanın iyi ayrıcalıkları varsa, başarılı bir DLL yandan yükleme saldırısı, saldırganın bu daha yüksek ayrıcalıklarla kod yürütmesine izin verebilir. Bilgisayar korsanlarına hassas bilgilere erişim veya diğer kötü niyetli eylemleri gerçekleştirme yeteneği verir.
Bu tehdidin farkında olmak ve ona karşı korunmak için adımlar atmak önemlidir.
Kendinizi bir DLL yandan yükleme saldırısına karşı nasıl korursunuz?
DLL yandan yükleme saldırılarını önlemek için birkaç adım ve hafifletme teknikleri sağlanabilir.
Yeni başlayanlar için, tüm uygulamaların yükledikleri DLL’lerin geçerliliğini ve bütünlüğünü doğru şekilde doğrulayacak şekilde yapılandırıldığından ve tüm yazılımların en son güvenlik güncellemeleriyle güncel tutulduğundan emin olun. Bu saldırıları tespit etmek ve önlemek için güvenlik yazılımı kullanmak da iyi bir fikirdir.
Ayrıca, bir DLL yandan yükleme saldırısı sırasında dikkat edilmesi gereken bazı temel işaretler burada verilmiştir. Yeni başlayanlar için bilgisayar korsanı, kötü amaçlı DLL dosyasını yüklemek için bir hedef uygulama bulacaktır ve ardından bir yük çalıştıracaktır.
Uygulamayı tanımlayın
Bilgisayar korsanı, önce DLL yandan yükleme saldırılarına karşı savunmasız bir hedef uygulamayı belirleyecektir. Bu, belirli bir konumdan bir DLL yüklemek için tasarlanmış ve DLL’yi yüklemeden önce orijinalliğini ve bütünlüğünü doğru şekilde doğrulamak üzere yapılandırılmamış bir uygulamanın aranmasını içerebilir.
Kötü amaçlı bir DLL oluşturun
Bilgisayar korsanı, yürütüldüğünde istenen kötü amaçlı eylemleri gerçekleştirmek için kötü amaçlı bir DLL dosyası oluşturur. DLL, algılanmayı önlemek için meşru bir DLL olarak gizlenebilir.
Kötü amaçlı DLL dosyasını yerleştirin
Bilgisayar korsanı daha sonra kötü amaçlı DLL’yi hedeflenen uygulamanın yükleyeceği konuma yerleştirir. Bu, sosyal mühendislik yoluyla veya kurbanın sistemindeki bir güvenlik açığından yararlanarak kurbanın makinesine erişmenin bir yolunu bulmayı içerebilir.
Kötü amaçlı DLL yürütme
Bilgisayar korsanı, hedeflenen uygulamayı kötü niyetli DLL’yi yüklemesi ve çalıştırması için kandıracaktır. Bu, kurbanı uygulamayı açmaya ikna etmeyi veya uygulamanın DLL’yi otomatik olarak yüklemesini sağlamanın bir yolunu bulmayı içerebilir.
Çözüm
Saldırı başarılı olursa, kötü amaçlı DLL, hedeflenen uygulamanın ayrıcalıklarıyla yürütülecek ve potansiyel olarak bilgisayar korsanının hassas bilgilere yetkisiz erişim elde etmesine veya kurbanın makinesinde başka kötü niyetli eylemler gerçekleştirmesine izin verecektir.