У цій статті наведено кілька способів експлуатації завантаження DLL, які можуть бути застосовані на практиці в найближчому майбутньому.
Бруно Філіп (bmilreu [] at [] gmail.com))
Це дійсно серйозна проблема безпеки, яка впливає на будь-яку версію Windows і не може бути виправлена універсальними засобами, тому що це порушить роботу багатьох існуючих додатків. У цій статті я дам кілька порад, як можна спробувати захистити себе і вашу мережу. На даний момент немає надійного рішення, але в багатьох випадках ви зможете уникнути зараження.
- Використання загальної папки SMB / WebDav
Порада: Цей тип атак може бути нейтралізований закриттям будь-яких вихідних підключень до загальних папок SMB / WebDav. Порти 445 і 135.
Для використання даного напрямку досить запакувати безліч «чистих» файлів і шкідливий DLL в стиснуту папку / архів. Жертва витягне ці файли і відкриє один з них, запустивши DLL зловмисника.
- Зловмисник стискає 30 jpg картинок і dll в zip файл. Жертва витягує все в папку і відкриває одну з картинок. Жертва заражена.
Не буду описувати інші приклади, тому що вони схожі.
Порада: Перед відкриттям файлів будь-якого типу, особливо викачаних з інтернету, перевірте, чи немає DLL файлу в цій же директорії. Не забудьте включити відображення прихованих файлів і розширень в параметрах папки. Також рекомендується перемістити тільки потрібні файли в іншу створену вами директорію. Це убезпечить вас.
Це один з найбільш ефективних способів, з його допомогою можна заразити велику кількість людей. Торрент може містити велику кількість файлів і може бути використаний для отримання шкідливого DLL разом з іншими викачуваними файлами без будь-якого повідомлення. Це дуже небезпечно, особливо у випадку з великими торрент трекера.
- Зловмисник розміщує торрент на публічному трекері, який містить багато mp3 файлів і шкідливий DLL. Жертва збирається послухати новий альбом і заражається.
- Зловмисник отримує доступ адміністратора до бази даних торрент трекера (недавно це сталося з ThePirateBay) і замінює торрент з високим трафіком на заражений. Це може викликати велике зараження протягом декількох хвилин.
Порада: Той же рада, що і вище. Переконайтеся, що в папці немає DLL файлів перш ніж відкривати файл будь-якого типу. Якщо у вас трекер або база даних, переконайтеся, що веб-сервер або база даних не схильні до будь-яких типів вразливостей, як наприклад SQL-ін'єкції, XSS і т.д.
- Використання вразливостей декількох додатків
Я ще не зустрічав на практиці шкідливе ПО, яке використовувало б завантаження DLL по максимуму. Але один із способів, яким зловмисники можуть скористатися (і скористаються) - розміщення декількох DLL файлів.
- Зловмисник відкриває доступ до спільної папки, яка містить багато .avi файлів і три шкідливих DLL: одну для VLC, іншу для Media Player Classic і останню для Winamp. Зловмисник може скористатися уразливими трьох додатків, збільшуючи шанс зараження жертви.
У цій статті наведено кілька способів, які можуть бути застосовані на практиці в найближчому майбутньому. Якщо ви хочете ознайомитися з усіма уразливими додатками і знайти свій спосіб або спробувати знайти власні вразливі додатки, то я рекомендую використовувати набір, наданий HD Moore.