DLL Hijacking: Definition, Tutorial und Präventionsmöglichkeiten

Erfahren Sie mehr darüber, wie adaptive Multi-Faktor-Authentifizierung (MFA) gefährlichen Sicherheitslücken, unsicheren Passwörtern und Phishing-Attacken einen Riegel vorschiebt.

Beim DLL Hijacking schleusen Cyber-Angreifer schädlichen Code in Anwendungen ein, um die Ladeprozesse von Dynamic Link Libraries (DLLs) zu manipulieren. Einer der schwerwiegendsten Cyberangriffe in der Geschichte der Vereinigten Staaten, von dem zahlreiche US-Regierungseinrichtungen betroffen waren, konnte auf DLL Hijacking zurückgeführt werden – höchstwahrscheinlich von Russland initiiert. Beim DLL Hijacking werden Systeme kompromittiert, indem über Windows-Plattformen eine schadhafte Datei eingeschleust wird. Die Gefahr von DLL Hijacking lässt sich reduzieren, wenn die Entwickler die gängigen Secure-Coding-Practices befolgen. Um sich zuverlässig schützen zu können, müssen Sie aber zunächst lernen, wie Sie DLL Hijacking erkennen. Ein starkes Security-Netzwerk und eine optimal geschulte Workforce können dazu beitragen, Cyber-Hacker von Ihren Systemen fernzuhalten.

Was versteht man unter DLL Hijacking?

Bei diesem Angriff infizieren Hacker Ihr System mit einer speziellen Schadsoftware, die ausgeführt wird, sobald Sie eine für das DLL Hijacking anfällige Anwendung starten. DLL Hijacking ist ein Cyberangriff, bei dem eine infizierte Datei in die Suchparameter einer Anwendung injiziert wird. Sobald ein User versucht, ein File aus diesem Verzeichnis zu laden, wird stattdessen die schädliche DLL-Datei geladen. Beim Start der Anwendung wird die infiltrierte Datei dann ausgeführt. DLL-Dateien sind häufig bereits auf dem Gerät vorinstalliert. Viele Anwendungen, die eine DLL-Datei enthalten, laden beim Start automatisch. Sobald die Datei mit dem Schadcode geladen wird, wird das System kompromittiert und Hacker erhalten vollen Zugriff darauf.

Was sind DLL-Files?

DLL-Dateien findet man ausschließlich in Microsoft-Betriebssystemen. Sie sorgen dafür, dass Anwendungen korrekt ausgeführt werden können. Laut Microsoft hängt die Funktionalität der Windows-Betriebssysteme in weiten Teilen von Dynamic Link Libraries ab. DLL-Dateien werden für gewöhnlich beim Start einer Anwendung ausgeführt. Sie sorgen dafür, dass Programme korrekt ausgeführt werden und Festplattenspeicher effizient genutzt wird. DLL-Dateien führen häufig mehrere Programme aus. Daher kann im Rahmen einer DLL Hijacking-Attacke eine einzige infiltrierte Datei dazu führen, dass mehrere Programme beeinträchtigt werden.

Was passiert beim DLL Hijacking?

Windows-Anwendungen nutzen DLL-Suchprotokolle, um einwandfrei zu arbeiten. Hacker platzieren eine Payload-Datei im Verzeichnis der anvisierten Anwendung. Dadurch kann die App ausgetrickst werden, dass sie die schadhafte Datei lädt und nicht etwa die korrekte. Die Dynamic Link Library Search Order von Microsoft ist für jedermann offen zugänglich. Daher ist es einfach, potenzielle Schwachstellen auszumachen. Anwendungen führen die erste DLL-Datei aus, auf die sie beim Starten stoßen. Damit eine DLL Hijacking-Attacke erfolgreich ist, muss der Hacker die Zielanwendung also so manipulieren, dass zunächst die infiltrierte Datei ausgeführt wird – und nicht die korrekte. Hacker greifen hierfür auf folgende Methoden zurück:

  • Sie platzieren einen Trojaner in eine DLL-Datei und schleusen diese in ein Verzeichnis ein, das noch vor der korrekten Library durchsucht wird.
  • Beim DLL-Preloading wird eine schädliche