Serangan Kerentanan, Pencegahan & Deteksi Pembajakan DLL

DLL adalah singkatan dari Dynamic Link Libraries dan merupakan bagian eksternal dari aplikasi yang berjalan di Windows atau sistem operasi lainnya. Sebagian besar aplikasi tidak lengkap dalam dirinya sendiri dan menyimpan kode dalam file yang berbeda. Jika ada kebutuhan untuk kode, file terkait dimuat ke dalam memori dan digunakan. Ini mengurangi ukuran file aplikasi sambil mengoptimalkan penggunaan RAM . Artikel ini menjelaskan apa itu Pembajakan DLL(DLL Hijacking) dan cara mendeteksi serta mencegahnya.

Apa itu File(Files) DLL atau Perpustakaan Tautan Dinamis(Dynamic Link Libraries)

Pembajakan DLL

(DLL)File DLL adalah Perpustakaan Tautan Dinamis(Dynamic Link Libraries) dan seperti yang terlihat dari namanya, adalah ekstensi dari aplikasi yang berbeda. Aplikasi apa pun yang kami gunakan mungkin atau mungkin tidak menggunakan kode tertentu. Kode tersebut disimpan dalam file yang berbeda dan dipanggil atau dimuat ke dalam RAM hanya ketika kode terkait diperlukan. Dengan demikian, ini menghemat file aplikasi agar tidak menjadi terlalu besar dan untuk mencegah pemogokan sumber daya oleh aplikasi.

Jalur untuk file DLL diatur oleh sistem operasi Windows . Jalur diatur menggunakan Variabel Lingkungan Global(Global Environmental Variables) . Secara default, jika aplikasi meminta file DLL , sistem operasi akan melihat ke folder yang sama tempat aplikasi disimpan. Jika tidak ditemukan di sana, ia pergi ke folder lain seperti yang diatur oleh variabel global. Ada prioritas yang dilampirkan ke jalur dan ini membantu Windows dalam menentukan folder apa yang harus dicari untuk DLL(DLLs) . Di sinilah pembajakan DLL masuk.

Apa itu Pembajakan DLL?

Karena DLL(DLLs) adalah ekstensi dan diperlukan untuk menggunakan hampir semua aplikasi di mesin Anda, mereka ada di komputer dalam folder yang berbeda seperti yang dijelaskan. Jika file DLL asli diganti dengan file (DLL)DLL palsu yang berisi kode berbahaya, ini dikenal sebagai Pembajakan DLL(DLL Hijacking) .

Seperti disebutkan sebelumnya, ada prioritas di mana sistem operasi mencari file DLL . Pertama(First) , ia melihat ke dalam folder yang sama dengan folder aplikasi dan kemudian mencari, berdasarkan prioritas yang ditetapkan oleh variabel lingkungan sistem operasi. Jadi jika file good.dll ada di folder SysWOW64 dan seseorang menempatkan bad.dll di folder yang memiliki prioritas lebih tinggi dibandingkan folder SysWOW64 , sistem operasi akan menggunakan file bad.dll, karena memiliki nama yang sama dengan DLL diminta oleh aplikasi. Setelah berada di RAM , itu dapat mengeksekusi kode berbahaya yang terkandung dalam file dan dapat membahayakan komputer atau jaringan Anda.

Bagaimana mendeteksi Pembajakan DLL

Metode termudah untuk mendeteksi dan mencegah pembajakan DLL adalah dengan menggunakan alat pihak ketiga. Ada beberapa alat gratis bagus yang tersedia di pasar yang membantu mendeteksi upaya peretasan DLL dan mencegahnya.

Salah satu program tersebut adalah DLL Hijack Auditor tetapi hanya mendukung aplikasi 32-bit. Anda dapat menginstalnya di komputer Anda dan memindai semua aplikasi Windows Anda untuk melihat semua aplikasi yang rentan terhadap pembajakan DLL . Antarmukanya sederhana dan cukup jelas. Satu-satunya kelemahan dari aplikasi ini adalah Anda tidak dapat memindai aplikasi 64-bit.

Program lain, untuk mendeteksi pembajakan  DLL , DLL_HIJACK_DETECT, tersedia melalui GitHub . Program ini memeriksa aplikasi untuk melihat apakah ada di antara mereka yang rentan terhadap pembajakan DLL . Jika ya, program akan memberi tahu pengguna. Aplikasi ini memiliki dua versi – x86 dan x64 sehingga Anda dapat menggunakannya masing-masing untuk memindai aplikasi 32-bit dan 64-bit.

Perlu dicatat bahwa program di atas hanya memindai aplikasi pada platform Windows untuk mengetahui (Windows)kerentanan dan tidak benar-benar mencegah pembajakan file DLL .

Bagaimana mencegah Pembajakan DLL

Masalah ini harus ditangani oleh pemrogram sejak awal karena tidak banyak yang dapat Anda lakukan kecuali meningkatkan sistem keamanan Anda. Jika alih-alih jalur relatif, pemrogram mulai menggunakan jalur absolut, kerentanan akan berkurang. Membaca jalur absolut, Windows atau sistem operasi lainnya tidak akan bergantung pada variabel sistem untuk jalur dan akan langsung menuju DLL yang dimaksud , sehingga menghilangkan kemungkinan memuat nama DLL yang sama di jalur prioritas yang lebih tinggi. Metode ini juga tidak anti gagal karena jika sistem disusupi, dan penjahat dunia maya mengetahui jalur DLL yang tepat , mereka akan mengganti DLL asli dengan (DLL)DLL palsu.. Itu akan menimpa file sehingga DLL asli diubah menjadi kode berbahaya. Tetapi sekali lagi, penjahat dunia maya perlu mengetahui jalur absolut persis yang disebutkan dalam aplikasi yang meminta DLL . Prosesnya sulit bagi penjahat dunia maya dan karenanya dapat diandalkan.

Kembali ke apa yang dapat Anda lakukan, coba tingkatkan sistem keamanan Anda untuk mengamankan sistem Windows Anda dengan(secure your Windows system) lebih baik . Gunakan firewall yang bagus . Jika memungkinkan, gunakan firewall perangkat keras atau nyalakan firewall router. Gunakan sistem deteksi penyusupan yang baik sehingga Anda tahu jika ada orang yang mencoba bermain dengan komputer Anda.

Jika Anda ingin memecahkan masalah komputer, Anda juga dapat melakukan hal berikut untuk meningkatkan keamanan Anda:

  1. Nonaktifkan pemuatan DLL dari berbagi jaringan jarak jauh
  2. Nonaktifkan pemuatan file DLL dari (DLL)WebDAV
  3. Nonaktifkan layanan WebClient sepenuhnya atau setel ke manual
  4. Blokir(Block) port TCP 445 dan 139 karena paling sering digunakan untuk membahayakan komputer
  5. Instal pembaruan terbaru untuk sistem operasi dan perangkat lunak keamanan.

Microsoft telah merilis alat untuk memblokir serangan pembajakan beban DLL . Alat ini mengurangi risiko serangan pembajakan DLL dengan mencegah aplikasi memuat kode dari file DLL secara tidak aman.(DLL)

Jika Anda ingin menambahkan sesuatu ke artikel, silakan komentar di bawah.(If you would like to add anything to the article, please comment below.)



About the author

Saya seorang insinyur perangkat keras dengan lebih dari 10 tahun pengalaman di lapangan. Saya berspesialisasi dalam pengontrol dan kabel USB, serta peningkatan BIOS dan dukungan ACPI. Di waktu luang saya, saya juga suka blog tentang berbagai topik yang berkaitan dengan teknologi dan teknik.



Related posts