DLL-kaping: definitie, tutorial en preventie

Kom te weten hoe u met adaptieve multi-factor authenticatie datalekken, zwakke wachtwoorden en phishing-aanvallen kunt voorkomen.

Bij DLL-kaping voegen cyberaanvallers malafide code toe aan een applicatie om de manier te beïnvloeden waarop libraries met dynamische links (DLL's) worden geladen. Bij een van de grootste hacks uit de geschiedenis van de federale Amerikaanse overheid, waarbij gegevens van verschillende ministeries werden gelekt (de aanval was waarschijnlijk afkomstig uit Rusland), was sprake van DLL-kaping. Bij DLL-kaping worden Windows-platforms aangevallen. Met één geïnfecteerd bestand kan schade worden toegebracht aan het volledige systeem. Met veilige programmeer-practices kan DLL-kaping echter worden voorkomen. Daarnaast is het belangrijk dat u weet hoe u DLL-kaping kunt detecteren en erop kunt testen, zodat u bedreigingen op afstand kunt houden. Een sterk securitynetwerk en goed getraind personeel kunnen hierbij helpen.

Wat is DLL-kaping?

Bij DLL-kaping plaatsen aanvallers een geïnfecteerd bestand op uw computer. Dit bestand wordt vervolgens uitgevoerd wanneer de applicatie die gevoelig is voor DLL-kaping wordt geladen. Het is een cyberaanvalsmethode waarbij een geïnfecteerd bestand binnen de zoekparameters van een applicatie wordt geïnjecteerd. Wanneer een gebruiker vervolgens probeert een bestand uit die directory te laden, wordt in plaats daarvan het geïnfecteerde DLL-bestand geladen. Het geïnfecteerde bestand komt in actie wanneer de applicatie wordt geladen. DLL-bestanden zijn vaak al standaard op een computer geladen. Veel applicaties met DLL-bestanden laden automatisch tijdens het opstarten, waardoor de hele computer gevaar loopt. Elke keer dat het bestand met de malafide code wordt geladen, krijgen hackers namelijk toegang tot de computer.

Wat zijn DLL-bestanden?

DLL-bestanden zijn alleen op Microsoft-besturingssystemen te vinden en bevatten de resources die een applicatie nodig heeft om correct te worden uitgevoerd. Veel van de functies van een Windows-besturingssysteem worden mogelijk gemaakt door de library met dynamische links, legt Microsoft uit. DLL-bestanden worden meestal geopend wanneer een applicatie wordt geladen. Deze bestanden dienen om programma’s uit te voeren en de ruimte op de harde schijf efficiënt te gebruiken. DLL-bestanden worden vaak voor de uitvoering van meer dan één programma gebruikt. Dit houdt in dat via één cyberaanval met DLL-kaping met één geïnfecteerd bestand meerdere programma’s kunnen worden verstoord en geschaad.

Hoe werkt DLL-kaping?

Voor een geslaagde uitvoering van Windows-applicaties wordt gebruikgemaakt van DLL-zoekprotocollen. Door een payload-DLL in de directory van de doelapplicatie te plaatsen, kan de applicatie worden misleid om het geïnfecteerde bestand in plaats van het legitieme bestand te laden. De DLL-zoekvolgorde van Microsoft-applicaties is openbaar en kan