تحديد ملفات DLL الخطيرة على نظام Windows 11 الخاص بك

  • فهم أهمية مكتبات DLL ومخاطر هجمات اختطاف مكتبات DLL.
  • اكتشف طرق وأدوات التحليل الثابتة والديناميكية لتحديد مكتبات DLL الضارة في Windows.
  • تعرف على أمثلة واقعية وأفضل الممارسات لمنع الهجمات والتخفيف منها باستخدام مكتبات DLL الخطيرة.
Daniel Terrasa

7 دقيقة

تحديد مكتبات DLL

في عالم الأمن السيبراني، تمثل ملفات DLL الضارة أحد أكثر متجهات الهجوم المتكررة والخطيرة على أنظمة Windows. لقد أصبح فهم كيفية نشأة هذه الملفات، والتقنيات التي يستخدمها المهاجمون، والطرق المتاحة للكشف عنها مهمة أساسية لكل من محترفي وعشاق أمن الكمبيوتر.

في هذا المنشور نخبرك كيفية التعرف على ملفات DLL الخطيرةأي كيف تتم عملية اختطاف DLL وما هي الأساليب والأدوات المثالية لتحليل هذا النوع من التهديدات.

ما هو DLL ولماذا يمكن أن يكون خطيرًا؟

مكتبات الارتباط الديناميكي، المعروفة باسم مكتبات DLL (مكتبة الارتباط الحيوي), هي ملفات أساسية في نظام Windows البيئي. يتم تحميلها في الذاكرة عند الطلب من قبل التطبيقات ونظام التشغيل نفسه، وهي تحتوي على وظائف وبرامج وموارد قابلة لإعادة الاستخدام تسهل التشغيل الفعال للبرامج.

خطر DLL يأتي من قدرتها على تنفيذ التعليمات البرمجية والتلاعب بالعمليات الحرجة. تستغل العديد من التهديدات الطريقة التي يحدد بها Windows موقع ملفات DLL ويقوم بتحميلها لحقن تعليمات برمجية ضارة أو تجاوز عناصر التحكم أو الاستمرار في النظام بشكل خفي.

DLL الاختطاف

اختطاف DLL: كيف يعمل اختطاف DLL؟

اختطاف DLL (اختطاف DLL) هل تقنية تستغل الطريقة التي تبحث بها التطبيقات عن المكتبات وتحملها على نظام التشغيل Windows. إذا لم يحدد التطبيق المسار الكامل لملف DLL الذي يحتاجه، يتبع Windows ترتيب بحث محدد مسبقًا عبر عدة أدلة.

يستغل المهاجم هذا عن طريق وضع ملف DLL ضار بنفس اسم الملف الشرعي في مجلد حيث يمكن للتطبيق العثور عليه قبل الملف الأصلي. عند تحميله، يُنفَّذ الكود الخبيث بنفس صلاحيات العملية الأصلية.

أوامر البحث عن DLL في Windows

يختلف سلوك البحث وفقًا لما إذا كان وضع البحث الآمن ممكّنًا أم لا.

  • مع تمكين البحث الآمن: دليل التطبيق، النظام، نظام 16 بت، Windows، الدليل الحالي، مسارات PATH.
  • مع تعطيل البحث الآمن: دليل التطبيق، الدليل الحالي، النظام، نظام 16 بت، Windows، مسارات PATH.

أنواع هجمات اختطاف DLL

  • إعدادات KnownDLL: تعديل مفاتيح التسجيل لتغيير قائمة مكتبات DLL المعروفة للنظام وإعادة توجيه التحميل إلى مكتب DLL ضار.
  • تحميل جانب DLL: إدراج ملفات DLL مزيفة في دليل WinSxS أو التلاعب ببيانات التبعية.
  • اختطاف Ghost DLL: استخدام أسماء DLL القديمة أو التي نادراً ما يتم استخدامها، والاستفادة من حقيقة أن العديد من التطبيقات تحاول تحميل هذه الملفات بشكل افتراضي.

في جميع الحالات، الهدف هو وضع ملف DLL الضار في مسار مميز لنظام البحث بحيث يتم تحميله بدلاً من الملف الأصلي.

DLL

مكتبات DLL للنظام: الأكثر عرضة للهجمات

غالبًا ما يتم استهداف بعض مكتبات DLL نظرًا لأهميتها ووظائفها الحرجة داخل Windows:

  • KERNEL32.dll: التلاعب بالذاكرة والملفات والعمليات.
  • Advapi32.dll: ميزات متقدمة لتسجيل الخدمة وإدارتها.
  • User32.dll: إدارة الواجهة الرسومية واستجابات المستخدم.
  • Gdi32.dll: التلاعب بالرسومات والتمثيلات المرئية.
  • Ntdll.dll: واجهة رئيسية لنواة Windows، قابلة للإساءة لإخفاء العمليات أو الوظائف غير المصرح بها.
  • WSock32.dll و Ws2_32.dll: ضروري في اتصالات الشبكة.
  • Wininet.dll: بروتوكولات الشبكة عالية المستوى، بما في ذلك HTTP وFTP وNTP.

قد يشير وجود هذه الملفات أو استخدامها بشكل غير طبيعي إلى نشاط مشبوه أو وجود برامج ضارة.

كيفية التعرف على ملفات DLL الخطيرة؟

تحديد مكتبات DLL الضارة المحتملة يمكن أن يتم ذلك بشكل ثابت أو ديناميكي. يقدم كل نهج بيانات تكميلية ويكون أكثر فعالية في دمجها في تحقيق شامل.

التحليل الساكن

يتضمن التحليل الثابت فحص بنية ملف DLL وتبعياته دون تنفيذه فعليًا على النظام. يؤدي هذا إلى تقليل مخاطر الإصابة ويسمح بالحصول على بيانات قيمة حول تركيبها والوظائف المصدرة والمستوردة والتعتيم المحتمل.

بعض الأدوات الموصى بها:

  • معرف المنتج: يعرض معلومات استيراد وتصدير ملف DLL، مما يسمح لك بتحديد المكتبات الداخلية التي يُحمّلها والوظائف التي يستخدمها. هذا مفيد جدًا لاكتشاف ما إذا كان ملف DLL بسيطًا يستورد وظائف مشبوهة مثل WriteFile.
  • التبعية ووكر: إنه يسمح لك بفحص كل من الملفات القابلة للتنفيذ ومكتبات DLL، مع إظهار شجرة التبعيات والوظائف المحددة التي سيتم استدعاؤها من خلال كل DLL مستورد.
  • معاينة PE: إنه يوفر نظرة عامة سريعة على البنية الداخلية لملف PE، بما في ذلك جداول الاستيراد والتصدير والبيانات مثل طابع زمني للإنشاء، والذي يمكن أن يوفر نظرة ثاقبة على حملات البرامج الضارة ذات الصلة.

هذا النوع من التحليل ضروري لتحديد ما إذا كان ملف DLL معتمًا بشكل شرعي، فإنه يستخدم حزمًا أو قد يقوم بتحميل تبعيات إضافية في وقت التشغيل.

التحليل الديناميكي

يتضمن التحليل الديناميكي قم بتشغيل DLL في بيئة خاضعة للرقابة (يفضل أن تكون جهازًا افتراضيًا أو صندوقًا رمليًا) ومراقبة سلوكه. هذا هو المكان الذي تظهر فيه أدوات مثل Process Monitor (Procmon) إمكاناتها الكاملة، حيث إنها تسمح لك بمراقبة الملفات والمكتبات التي تم تحميلها أو تعديلها أو إنشاؤها في الوقت الفعلي.

تتطلب هذه التقنية، على الرغم من بساطتها، الحذر، حيث أن إدراج مكتبات DLL خاطئة قد يؤدي إلى كسر وظيفة التطبيق الأصلي.

الأدوات المتقدمة والأتمتة: aDLL، وMicrosoft Detours، والمزيد

لمن يسعون تغطية كميات كبيرة من الملفات القابلة للتنفيذ أو أتمتة التحليل، هناك أدوات مساعدة مثل ملف DLLطُوِّرَت هذه الأداة كمصدر مفتوح على GitHub. تتيح لك هذه الأداة تحليل الملفات الثنائية تلقائيًا، واستخراج ملفات DLL التي تحاول تحميلها (سواءً أثناء التحميل، أو وقت التشغيل، أو التحميل المتأخر)، بل وحتى التحقق تلقائيًا من الملفات التي قد تؤدي إلى الاختراق.

يعتمد تشغيل aDLL أو الأدوات المساعدة المماثلة على فحص جدول استيراد الملفات القابلة للتنفيذ (استيراد جدول العناوين) وبمساعدة مكتبات مثل Microsoft Detours، اعتراض المكالمات إلى LoadLibrary ومتغيراتها. لا يسمح هذا بتحديد المرشحين للاختطاف فحسب، بل يسمح أيضًا بإجراء اختبارات آلية - على سبيل المثال، عن طريق نسخ ملف DLL للاختبار إلى المسار المناسب والتحقق مما إذا كان قد تم تحميله بالفعل.

كيفية منع هجمات اختطاف DLL

بالإضافة إلى الكشف، ومن المهم للغاية منع اختطاف DLL. ويتضمن ذلك اتخاذ إجراءات على مستويات التطوير وإدارة الأنظمة وتوعية الموظفين.

أفضل الممارسات

  • التشفير الآمن: يجب على المطورين دائمًا تحديد المسار الكامل لملفات DLL المطلوبة، وتجنب المسارات النسبية أو غير المحددة.
  • التحديث والمراقبة المستمرة: يعد الحفاظ على تحديث البرامج وبرامج مكافحة الفيروسات لديك أمرًا أساسيًا لاكتشاف محاولات حقن DLL الجديدة وحظرها.
  • تدريب الموظفين: قم بتعليم المستخدمين كيفية التعرف على تقنيات التصيد والهندسة الاجتماعية، حيث تتطلب معظم الهجمات درجة معينة من التفاعل البشري.
  • إدارة مخاطر الموردين وسلسلة التوريد: إن التحقق من أمان البائعين ومراقبة سلاسل التوريد قد يمنع إدخال مكتبات DLL الضارة الموقعة رقميًا بواسطة أطراف ثالثة موثوق بها.
  • استخدام حلول مثل DLLSPY: تساعد هذه الأداة، المتوفرة على GitHub، في الكشف عن عمليات اختطاف DLL وثغرات تصعيد الامتيازات.

فهمت يتطلب تحديد ومنع تحميل مكتبات DLL الخطيرة تحليلًا دقيقًا للملفات والعمليات، بالإضافة إلى تطبيق ممارسات التطوير والإدارة الجيدة. يمكن للمحترفين والمستخدمين المتقدمين على حد سواء تنفيذ هذه الأساليب لتعزيز أمان أنظمة Windows وجعل الأمر أكثر صعوبة بالنسبة للمهاجمين.