Đăng ký
  1. Trang chủ
  2. » Công Nghệ Thông Tin

Phân tích các tấn công chiếm quyền điều khiển DLL

6 16 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Phân tích các tấn công chiếm quyền điều khiển DLL Trong bài này chúng tôi sẽ giới thiệu cho các bạn các lỗi trong kiến trúc phần mềm có thể bị tấn công chiếm quyền điều khiển DLL,

Phân tích cơng chiếm quyền điều khiển DLL Trong giới thiệu cho bạn lỗi kiến trúc phần mềm bị công chiếm quyền điều khiển DLL, cách phát ứng dụng có lỗ hổng hay khơng cuối bước thực để bảo đảm tránh công kiểu Cho đến cuối tháng năm 2010, nhà nghiên cứu bảo mật tiết lộ thông tin chi tiết lớp lỗ hổng bảo mật mà theo họ có số ảnh hưởng rộng Họ phát hàng trăm ứng dụng bị hổng trước công công đặt tên chiếm quyền điều khiển DLL (DLL Hijacking) Trong giới thiệu cho cá bạn số lỗi kiến trúc phần mềm bị ảnh hưởng cơng này, thêm vào cách cách phát ứng dụng có lỗ hổng hay không cuối bước thực để bảo đảm tránh công kiểu Cách cơng DLL hijacking thực tất ứng dụng Windows dựa vào thư viện liên kết động (viết tắt DLL) với tư cách phần chức lõi chúng Các file DLL chuyên gia phát triển phần mềm viết triệu gọi bên ứng dụng họ nhằm thực chức khác Bản thân Windows dựa kiểu kiến trúc có chứa vơ số file DLL để thực nhiều chức khác Hack Internet OS bảo mật - Tập Tác giả: Vũ Đình Cường (Chủ biên), Phương Lan (Hiệu đính) Giá bán: 49.000 VNĐ Cùng với file DLL có hệ điều hành Windows, chuyên gia phát triển ứng dụng thường viết riêng file DLL họ để thực số chức chương trình Khi viết xong, file DLL đóng gói cài đặt với ứng dụng Vấn đề nảy sinh theo cách ứng dụng load file DLL Mặc định, ứng dụng khơng có đường dẫn định nghĩa cố định để đến file DLL mà u cầu ứng dụng thực hành động tìm kiếm động Trong trình thực tìm kiếm, ứng dụng tìm kiếm thư mục mà trước thực thi, sau tìm kiếm thư mục hệ thống, thư mục hệ thống 16-bit, thư mục Windows, thư mục hành sau thư mục liệt biến môi trường PATH hệ điều hành Trong tìm kiếm đường dẫn này, ứng dụng sử dụng DLL mà tìm thấy Với kiến thức trên, hình dung kịch mà thực thi ứng dụng phải thực tìm kiếm động DLL Ứng dụng tìm kiếm đường dẫn mà thực thi trước tìm dll trùng khớp Tuy nhiên với người dùng, DLL thực có liên quan với ứng dụng nằm thư mục Windows system DLL đặt thư mục với ứng dụng DLL điều chỉnh kẻ công nhằm truy cập từ xa vào hệ thống Rõ ràng, ứng dụng khơng thể tìm DLL thực tìm thấy DLL trùng khớp mà cần tìm Nhận dạng ứng dụng có lỗ hổng Vấn đề lớn với công DLL hijacking Microsoft phát hành vá để vá tất ứng dụng có lỗ hổng Điều tung vá làm cho số ứng dụng bị vô hiệu hóa Chính việc khắc phục vấn đề liên quan đến hai bên Đầu tiên, công ty chuyên gia phát triển phần mềm, người tạo ứng dụng có lỗ hổng phải sửa code họ cung cấp cập nhật đến người dùng Tiếp đến, người dùng (các quản trị viên hệ thống) phải xác định xem liệu mạng họ có sử dụng ứng dụng có lỗ hổng hay khơng, tìm cài đặt vá hãng cung cấp Có số cách phát liệu bạn có sử dụng ứng dụng có lỗ hổng hay khơng Phương pháp đơn giản kiểm tra tài nguyên công cộng post nhà nghiên cứu bảo mật xem ứng dụng bạn có tồn hay khơng Bạn tìm kiếm tài ngun Hình 1: Danh sách ứng dụng có lỗ hổng Phương pháp thứ hai yêu cầu thêm số cơng việc cần thực xảy môi trường bảo mật cao Rất bạn nghĩ phương pháp địi hỏi phải có hiểu biết kỹ thuật dành cho chuyên gia bảo mật mức cao Tuy nhiên vậy, chuyên gia bảo mật HD Moore biết tầm quan trọng công phát triển kit thẩm định (auditing kit), kit sử dụng để tìm kiếm ứng dụng có lỗ hổng hệ thống Bộ kit có tên gọi DllHijackAuditKitv2 cung cấp Khi download xong, bạn cần đăng nhập với tư cách quản trị viên hệ thống, bung nội dung file nén ZIP thực thi file 01_StartAudit.bat Kịch download Sysinternals Process Monitor bắt đầu thực việc kiểm tra hệ thống để tìm ứng dụng có lỗ hổng Trong q trình chạy việc download Process Monitor thất bại bạn download trực tiếp từ Khi download, bảo đảm cho Process Monitor nằm thư mục với kịch thẩm định Kịch thẩm định ban đầu nhiều thời gian để chạy Phụ thuộc vào số lượng ứng dụng hệ thống mà việc thẩm định từ 15 phút đến hàng Hình 2: Kiểm tra thẩm định ứng dụng có liên quan với phần mở rộng file Sau kịch thẩm định hồn tất thực thi nó, bạn phải chuyển qua ứng dụng kiểm tra trình xuất kịch lưu báo cáo mà tạo Kích File Save để thực việc Bảo đảm lưu file định dạng CSV với tên Logfile.CSV thư mục audit kit Tiếp đến, chạy kịch 02_Analyze.bat Kịch phân tích cú pháp file CSV tìm lỗ hổng tiềm tàng Nếu có lỗ hổng phát hiện, ứng dụng tạo mã khai thác để minh chứng cho lỗ hổng Hình 3: Kịch thứ hai cố gắng khai thác lỗ hổng tiềm tàng phát Cuối cùng, nhắc lệnh bên trái mở kịch liệt kê ứng dụng bị khai thác thành công Với ứng dụng bị khai thác, kịch tạo thư mục bên thư mục khai thác Các thư mục chứa khai thác làm việc cho ứng dụng bị ảnh hưởng Các khai thác thực thứ khởi chạy command shell lắng nghe backdoor Đây chứng khai thác chúng khởi chạy file calc.exe Các thông tin có ích cho bạn việc phát xem có sử dụng ứng dụng có lỗ hổng hay không Ngăn chặn công Trong đợi vá phần mềm, có số thứ bạn thực để hạn chế việc lộ diện bạn trước công DLL hijacking Sử dụng vá CWDIllegalInDllSearch Đáp trả ban đầu Microsoft cho lớp lỗ hổng thay đổi registry qua việc thay đổi cách load DLL nhằm giảm nhẹ công Bản vá triển khai cẩn thận phá vỡ chức hoạt động ứng dụng cài đặt, nhiên nên test bạn quan tâm đến kiểu công Bạn đọc thêm vá Khóa Outbound SMB vành đai Hầu hết tổ chức thực điều này, bạn chưa thực thời điểm tốt để làm điều Điều giúp bạn tránh số kiểu công khác Hủy bỏ cài đặt phần mềm có lỗ hổng Cách thức khơng phải lúc khả thi, nhiên bạn sử dụng ứng dụng có lỗ hổng dễ dàng thay cơng việc mà bạn cần thực để bảo đảm an toàn chuyển đổi ứng dụng Triển khai phần phềm phát xâm nhập (IDS) Trong số trường hợp giảm nhẹ cơng tốt tìm kẻ công sau khai thác Sử dụng công cụ phát xâm phạm miễn phí Snort, bạn phát dấu hiệu hành động cơng mà khai thác máy tính có lổ hổng Kết luận Sự xuất nhiều lỗ hổng DLL hijacking tạo kịch đáng quan tâm thực tế phát hành vá cho hệ điều hành để vá loạt ứng dụng Cách tốt bạn thực bảo đảm biết có kiến thức cách làm việc kiểu công này, biết cách test xem có tồn ứng dụng mà bạn sử dụng mạng hay khơng, tiếp cần phải nhận thơng tin từ người cấp vá để sửa ... mà thực thi trước tìm dll trùng khớp Tuy nhiên với người dùng, DLL thực có liên quan với ứng dụng nằm thư mục Windows system DLL đặt thư mục với ứng dụng DLL điều chỉnh kẻ công nhằm truy cập từ... lộ diện bạn trước công DLL hijacking Sử dụng vá CWDIllegalInDllSearch Đáp trả ban đầu Microsoft cho lớp lỗ hổng thay đổi registry qua việc thay đổi cách load DLL nhằm giảm nhẹ công Bản vá triển... dụng khơng thể tìm DLL thực tìm thấy DLL trùng khớp mà cần tìm Nhận dạng ứng dụng có lỗ hổng Vấn đề lớn với công DLL hijacking Microsoft phát hành vá để vá tất ứng dụng có lỗ hổng Điều tung vá làm

Ngày đăng: 11/05/2021, 03:36

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w