Serangan Pembajakan, Pencegahan & Deteksi DLl

DLL adalah singkatan dari Dynamic Link Libraries dan merupakan bagian eksternal dari aplikasi yang berjalan di Windows atau sistem operasi lainnya. Sebagian besar aplikasi tidak lengkap dan menyimpan kode dalam file yang berbeda. Jika ada kebutuhan untuk kode, file yang terkait dimuat ke dalam memori dan digunakan. Ini mengurangi ukuran file aplikasi sambil mengoptimalkan penggunaan RAM. Artikel ini menjelaskan apa itu DLL Hijacking dan cara mendeteksi dan mencegahnya.

Apa itu file DLL atau Perpustakaan Tautan Dinamis

file DLL adalah Pustaka Tautan Dinamis dan seperti yang terlihat oleh namanya, adalah ekstensi aplikasi yang berbeda. Aplikasi apa pun yang kami gunakan mungkin atau tidak menggunakan kode tertentu. Kode semacam itu disimpan dalam file berbeda dan dipanggil atau dimuat ke RAM hanya jika kode yang terkait diperlukan. Dengan demikian, ini menyimpan file aplikasi menjadi terlalu besar dan mencegah resource hogging oleh aplikasi.

Path untuk file DLL diatur oleh sistem operasi Windows. Jalur tersebut diatur menggunakan Global Variabel Lingkungan. Secara default, jika aplikasi meminta file DLL, sistem operasi melihat ke dalam folder yang sama tempat aplikasi disimpan. Jika tidak ditemukan di sana, itu pergi ke folder lain sebagaimana ditetapkan oleh variabel global. Ada prioritas yang melekat pada jalur dan itu membantu Windows dalam menentukan folder apa untuk mencari DLL. Di sinilah pembajakan DLL masuk.

Apa itu DLL Pembajakan

Karena DLL adalah ekstensi dan diperlukan untuk menggunakan hampir semua aplikasi pada mesin Anda, mereka hadir di komputer dalam folder yang berbeda seperti yang dijelaskan. Jika file DLL asli diganti dengan file DLL palsu yang berisi kode berbahaya, dikenal sebagai DLL Hijacking.

Seperti disebutkan sebelumnya, ada prioritas di mana sistem operasi mencari file DLL. Pertama, ia melihat ke folder yang sama dengan folder aplikasi dan kemudian mencari, berdasarkan prioritas yang ditetapkan oleh variabel lingkungan dari sistem operasi. Jadi jika file good.dll ada di folder SysWOW64 dan seseorang menempatkan bad.dll di folder yang memiliki prioritas lebih tinggi dibandingkan dengan folder SysWOW64, sistem operasi akan menggunakan file bad.dll, karena memiliki nama yang sama dengan DLL diminta oleh aplikasi. Setelah di RAM, ia dapat mengeksekusi kode berbahaya yang terdapat dalam file dan dapat membahayakan komputer atau jaringan Anda.

Bagaimana mendeteksi Pembajakan DLL

Metode termudah untuk mendeteksi dan mencegah pembajakan DLL adalah dengan menggunakan alat pihak ketiga. Ada beberapa alat gratis yang baik yang tersedia di pasar yang membantu dalam mendeteksi upaya hack DLL dan mencegahnya.

Salah satu program tersebut adalah DLL Hijack Auditor tetapi hanya mendukung aplikasi 32-bit. Anda dapat menginstalnya di komputer Anda dan memindai semua aplikasi Windows Anda untuk melihat apa yang semua aplikasi rentan terhadap pembajakan DLL. Antarmukanya sederhana dan cukup jelas. Satu-satunya kelemahan dari aplikasi ini adalah Anda tidak dapat memindai aplikasi 64-bit.

Program lain, untuk mendeteksi pembajakan DLL, DLL_HIJACK_DETECT, tersedia melalui GitHub. Program ini memeriksa aplikasi untuk melihat apakah ada yang rentan terhadap pembajakan DLL. Jika ya, program akan memberi tahu pengguna. Aplikasi ini memiliki dua versi - x86 dan x64 sehingga Anda dapat menggunakan masing-masing untuk memindai aplikasi 32 bit dan 64 bit masing-masing.

Perlu dicatat bahwa program di atas hanya memindai aplikasi pada platform Windows untuk kerentanan dan tidak benar-benar mencegah pembajakan file DLL.

Bagaimana mencegah Pembajakan DLL

Masalahnya harus ditangani oleh para programmer di tempat pertama karena tidak banyak yang dapat Anda lakukan kecuali untuk meningkatkan sistem keamanan Anda. Jika, alih-alih jalur relatif, pemrogram mulai menggunakan jalur absolut, kerentanan akan berkurang. Membaca jalur absolut, Windows atau sistem operasi lainnya tidak akan bergantung pada variabel sistem untuk jalur dan akan langsung menuju DLL yang dimaksud, sehingga mengabaikan kemungkinan memuat nama DLL yang sama di jalur prioritas yang lebih tinggi. Metode ini juga, tidak gagal-bukti karena jika sistem dikompromikan, dan penjahat cyber tahu jalur yang tepat dari DLL, mereka akan mengganti DLL asli dengan DLL palsu. Itu akan menimpa file sehingga DLL asli diubah menjadi kode berbahaya. Tetapi sekali lagi, cybercriminal perlu mengetahui jalur absolut absolut yang disebutkan dalam aplikasi yang menyerukan DLL. Prosesnya sangat sulit untuk kriminal di dunia maya dan karenanya dapat dihitung.

Kembali ke apa yang dapat Anda lakukan, coba skala sistem keamanan Anda untuk lebih mengamankan sistem Windows Anda. Gunakan firewall yang bagus. Jika memungkinkan, gunakan firewall perangkat keras atau hidupkan firewall router. Gunakan sistem deteksi intrusi yang baik sehingga Anda tahu apakah ada yang mencoba bermain dengan komputer Anda.

Jika Anda ke dalam pemecahan masalah komputer, Anda juga dapat melakukan hal berikut untuk meningkatkan keamanan Anda:

1. Nonaktifkan pemuatan DLL dari jaringan jarak jauh
2. Nonaktifkan pemuatan file DLL dari WebDAV
3. Nonaktifkan layanan WebClient sepenuhnya atau atur ke manual
4. Blok port TCP 445 dan 139 karena mereka paling sering digunakan untuk mengkompromikan komputer
5. Instal pembaruan terbaru untuk operasi sistem dan perangkat lunak keamanan.

Microsoft telah merilis alat untuk memblokir serangan pembajakan beban DLL. Alat ini mengurangi risiko serangan pembajakan DLL dengan mencegah aplikasi dari pemuatan kode secara tidak aman dari file DLL.

Jika Anda ingin menambahkan sesuatu ke artikel, silakan komentar di bawah.