DLL son las siglas de Dynamic Link Libraries y son partes externas de aplicaciones que se ejecutan en Windows o en cualquier otro sistema operativo. La mayoría de las aplicaciones no están completas en sí mismas y almacenan el código en diferentes archivos. Si es necesario el código, el archivo relacionado se carga en la memoria y se utiliza. Esto reduce el tamaño del archivo de la aplicación mientras optimiza el uso de RAM . Este artículo explica qué es el secuestro de DLL^{(DLL Hijacking)} y cómo detectarlo y prevenirlo.

¿Qué son los archivos^(Files) DLL o las bibliotecas de vínculos dinámicos ?^{(Dynamic Link Libraries)}

Secuestro de DLL

^(DLL)Los archivos DLL son bibliotecas de vínculos dinámicos^{(Dynamic Link Libraries)} y, como su nombre lo indica, son extensiones de diferentes aplicaciones. Cualquier aplicación que usemos puede o no usar ciertos códigos. Dichos códigos se almacenan en diferentes archivos y se invocan o cargan en la RAM solo cuando se requiere el código relacionado. Por lo tanto, evita que un archivo de aplicación se vuelva demasiado grande y evita que la aplicación acapare recursos.

El sistema operativo Windows establece la ruta para los archivos DLL . La ruta se establece utilizando Variables ambientales globales^{(Global Environmental Variables)} . De forma predeterminada, si una aplicación solicita un archivo DLL , el sistema operativo busca en la misma carpeta en la que está almacenada la aplicación. Si no se encuentra allí, va a otras carpetas según lo establecido por las variables globales. Hay prioridades adjuntas a las rutas y ayuda a Windows a determinar en qué carpetas buscar las DLL^(DLLs) . Aquí es donde entra en juego el secuestro de DLL .

¿Qué es el secuestro de DLL?

Dado que las DLL^(DLLs) son extensiones y son necesarias para usar casi todas las aplicaciones en sus máquinas, están presentes en la computadora en diferentes carpetas como se explica. Si el archivo DLL original se reemplaza con un archivo DLL falso que contiene código malicioso, se conoce como secuestro de DLL^{(DLL Hijacking)} .

Como se mencionó anteriormente, existen prioridades en cuanto a dónde busca el sistema operativo los archivos DLL . Primero^(First) , busca en la misma carpeta que la carpeta de la aplicación y luego busca, según las prioridades establecidas por las variables de entorno del sistema operativo. Por lo tanto, si un archivo good.dll está en la carpeta SysWOW64 y alguien coloca un archivo bad.dll en una carpeta que tiene mayor prioridad en comparación con la carpeta SysWOW64 , el sistema operativo utilizará el archivo bad.dll, ya que tiene el mismo nombre que la DLL . solicitado por la aplicación. Una vez en la RAM , puede ejecutar el código malicioso contenido en el archivo y puede comprometer su computadora o redes.

Cómo detectar el secuestro de DLL

El método más fácil para detectar y prevenir el secuestro de DLL es utilizar herramientas de terceros. Hay algunas buenas herramientas gratuitas disponibles en el mercado que ayudan a detectar un intento de pirateo de DLL y prevenirlo.

Uno de estos programas es DLL Hijack Auditor , pero solo admite aplicaciones de 32 bits. Puede instalarlo en su computadora y escanear todas sus aplicaciones de Windows para ver qué aplicaciones son vulnerables al secuestro de DLL . La interfaz es simple y se explica por sí misma. El único inconveniente de esta aplicación es que no puede escanear aplicaciones de 64 bits.

Otro programa, para detectar el secuestro de DLL , DLL_HIJACK_DETECT, está disponible a través de GitHub . Este programa verifica las aplicaciones para ver si alguna de ellas es vulnerable al secuestro de DLL . Si es así, el programa informa al usuario. La aplicación tiene dos versiones: x86 y x64 , por lo que puede usar cada una para escanear aplicaciones de 32 y 64 bits, respectivamente.

Cabe señalar que los programas anteriores solo escanean las aplicaciones en la plataforma Windows en busca de ^(Windows)vulnerabilidades y en realidad no evitan el secuestro de archivos DLL .

Cómo prevenir el secuestro de DLL

El problema debe ser abordado por los programadores en primer lugar, ya que no hay mucho que pueda hacer excepto reforzar sus sistemas de seguridad. Si en lugar de una ruta relativa, los programadores comienzan a usar una ruta absoluta, la vulnerabilidad se reducirá. Al leer la ruta absoluta, Windows o cualquier otro sistema operativo no dependerá de las variables del sistema para la ruta e irá directamente a la DLL deseada , descartando así las posibilidades de cargar la DLL del mismo nombre en una ruta de mayor prioridad. Este método tampoco es a prueba de fallas porque si el sistema está comprometido y los ciberdelincuentes conocen la ruta exacta de la DLL , reemplazarán la DLL original con la ^(DLL)DLL falsa .. Eso sería sobrescribir el archivo para que la DLL original se convierta en código malicioso. Pero nuevamente, el ciberdelincuente necesitará conocer la ruta absoluta exacta mencionada en la aplicación que solicita la DLL . El proceso es difícil para los ciberdelincuentes y, por lo tanto, se puede contar con él.

Volviendo a lo que puede hacer, intente escalar sus sistemas de seguridad para proteger mejor su sistema Windows^{(secure your Windows system)} . Utilice un buen cortafuegos^(firewall) . Si es posible, use un firewall de hardware o encienda el firewall del enrutador. Utilice buenos sistemas de detección de intrusos para saber si alguien está tratando de jugar con su computadora.

Si le gusta la solución de problemas de las computadoras, también puede realizar lo siguiente para aumentar su seguridad:

Deshabilitar la carga de DLL desde recursos compartidos de red remotos
Deshabilitar la carga de archivos DLL desde WebDAV
Deshabilite completamente el servicio WebClient o configúrelo en manual
Bloquee^(Block) los puertos TCP 445 y 139, ya que son los más utilizados para comprometer las computadoras
Instale las últimas actualizaciones del sistema operativo y el software de seguridad.

Microsoft ha lanzado una herramienta para bloquear los ataques de secuestro de carga de DLL . Esta herramienta mitiga el riesgo de ataques de secuestro de DLL al evitar que las aplicaciones carguen código de archivos DLL de manera insegura.^(DLL)

Si desea agregar algo al artículo, por favor comente a continuación.^{(If you would like to add anything to the article, please comment below.)}

DLL Hijacking Vulnerability Attacks, Prevention & Detection

DLL stands for Dynamic Link Libraries and are external parts of applications that run on Windows or any other operating ѕystem. Most applications are not complete in themselvеs and store code in dіfferent files. If there is a need for the code, the related file is loaded into memory and used. This reducеs application file size while optimizing the usage of RAM. This article explainѕ what is DLL Hijacking and how to detect and prevent it.

What are DLL Files or Dynamic Link Libraries

DLL Hijacking

DLL files are Dynamic Link Libraries and as evident by the name, are extensions of different applications. Any application we use may or may not use certain codes. Such codes are stored in different files and are invoked or loaded into RAM only when the related code is required. Thus, it saves an application file from becoming too big and to prevent resource hogging by the application.

The path for DLL files are set by the Windows operating system. The path is set using Global Environmental Variables. By default, if an application requests a DLL file, the operating system looks into the same folder in which the application is stored. If it is not found there, it goes to other folders as set by the global variables. There are priorities attached to paths and it helps Windows in determining what folders to look for the DLLs. This is where the DLL hijacking comes in.

What is DLL Hijacking

Since DLLs are extensions and necessary to using almost all applications on your machines, they are present on the computer in different folders as explained. If the original DLL file is replaced with a fake DLL file containing malicious code, it is known as DLL Hijacking.

As mentioned earlier, there are priorities as to where the operating system looks for DLL files. First, it looks into the same folder as the application folder and then goes searching, based on the priorities set by the environment variables of the operating system. Thus if a good.dll file is in SysWOW64 folder and someone places a bad.dll in a folder that has higher priority compared to SysWOW64 folder, the operating system will use the bad.dll file, as it has the same name as the DLL requested by the application. Once in RAM, it can execute the malicious code contained in the file and may compromise your computer or networks.

How to detect DLL Hijacking

The easiest method to detect and prevent DLL hijacking is to use third-party tools. There are some good free tools available in the market that helps in detecting a DLL hack attempt and prevent it.

One such program is DLL Hijack Auditor but it supports only 32-bit applications. You can install it on your computer and scan all your Windows applications to see what all applications are vulnerable to DLL hijack. The interface is simple and self-explanatory. The only drawback of this application is that you cannot scan 64-bit applications.

Another program, to detect DLL hijacking, DLL_HIJACK_DETECT, is available via GitHub. This program checks applications to see if any of them are vulnerable to DLL hijacking. If it is, the program informs the user. The application has two versions – x86 and x64 so that you can use each to scan both 32-bit and 64-bit applications respectively.

It should be noted that the above programs just scan the applications on the Windows platform for vulnerabilities and do not actually prevent the hijacking of DLL files.

How to prevent DLL Hijacking

The issue should be tackled by the programmers in the first place as there is not much you can do except to beef up your security systems. If instead of a relative path, programmers start using an absolute path, the vulnerability will be reduced. Reading the absolute path, the Windows or any other operating system will not depend on system variables for path and will go straight for the intended DLL, thereby dismissing the chances of loading the same name DLL in a higher priority path. This method too, is not fail-proof because if the system is compromised, and the cybercriminals know the exact path of DLL, they will replace the original DLL with the fake DLL. That would be overwriting the file so that the original DLL is changed into malicious code. But again, the cybercriminal will need to know the exact absolute path mentioned in the application that calls for the DLL. The process is tough for cybercriminals and hence can be counted upon.

Coming back to what you can do, just try to scale up your security systems to better secure your Windows system. Use a good firewall. If possible, use a hardware firewall or turn on the router firewall. Use good intrusion detection systems so that you know if anyone is trying to play with your computer.

If you are into troubleshooting computers, you may also perform the following to up your security:

Disable DLL loading from remote network shares
Disable loading of DLL files from WebDAV
Disable WebClient service completely or set it to manual
Block the TCP ports 445 and 139 as they are used most for compromising computers
Install the latest updates to the operating system and security software.

Microsoft has released a tool to block DLL load hijacking attacks. This tool mitigates the risk of DLL hijacking attacks by preventing applications from insecurely loading code from DLL files.

If you would like to add anything to the article, please comment below.

Juan jose Morales

About the author

Soy técnico informático profesional y tengo más de 10 años de experiencia en el campo. Me especializo en el desarrollo de Windows 7 y Windows Apps, así como en el diseño de Cool Websites. Tengo un gran conocimiento y experiencia en el campo, y sería un activo valioso para cualquier organización que busque hacer crecer su negocio.

Ataques de vulnerabilidad de secuestro de DLL, prevención y detección

¿Qué son los archivos^(Files) DLL o las bibliotecas de vínculos dinámicos ?^{(Dynamic Link Libraries)}

¿Qué es el secuestro de DLL?

Cómo detectar el secuestro de DLL

Cómo prevenir el secuestro de DLL

DLL Hijacking Vulnerability Attacks, Prevention & Detection

What are DLL Files or Dynamic Link Libraries

What is DLL Hijacking

How to detect DLL Hijacking

How to prevent DLL Hijacking

Juan jose Morales

About the author

Related posts

¿Qué es remoto Access Trojan? Prevención, Detection & Removal

Fileless Malware Attacks, Protection and Detection

¿Cómo evitar Phishing Scams and Attacks?

Cyber Attacks - Definición, Types, Prevención

Browser Hijacking and Free Browser Hijacker Removal Tools

Cómo usar el Chrome browser incorporado Malware Scanner & Cleanup Tool

DDoS Distributed Denial de Service Attacks: Protección, Prevention

¿Qué es IDP.Generic and How para eliminarlo con seguridad de Windows?

¿Qué es Win32: BogEnt y cómo eliminarlo?

Error fallido Fix Search al ejecutar Chrome Malware Scanner

Cómo usar Malwarebytes Anti-Malware para eliminar Malware

Criptojacking el nuevo browser mining threat que necesita saber sobre

¿Qué es un Backdoor attack? Meaning, Examples, Definitions

Consejos para proteger su computadora contra Thunderspy attack

Microsoft Windows Logo process en Task Manager; ¿Es un virus?

Cómo eliminar Malware de su PC en Windows 10

Cómo usar Avast Boot Scan para eliminar Malware de Windows PC

Prevent Drive-by descargas y ataques de malware relacionados

Cómo prevenir Malware - Consejos para asegurar Windows 11/10

Crystal Security es un Cloud gratuito basado en Malware Detection Tool para PC

Ataques de vulnerabilidad de secuestro de DLL, prevención y detección

¿Qué son los archivos(Files) DLL o las bibliotecas de vínculos dinámicos ?(Dynamic Link Libraries)

¿Qué es el secuestro de DLL?

Cómo detectar el secuestro de DLL

Cómo prevenir el secuestro de DLL

DLL Hijacking Vulnerability Attacks, Prevention & Detection

What are DLL Files or Dynamic Link Libraries

What is DLL Hijacking

How to detect DLL Hijacking

How to prevent DLL Hijacking

Juan jose Morales

About the author

Related posts

¿Qué es remoto Access Trojan? Prevención, Detection & Removal

Fileless Malware Attacks, Protection and Detection

¿Cómo evitar Phishing Scams and Attacks?

Cyber Attacks - Definición, Types, Prevención

Browser Hijacking and Free Browser Hijacker Removal Tools

Cómo usar el Chrome browser incorporado Malware Scanner & Cleanup Tool

DDoS Distributed Denial de Service Attacks: Protección, Prevention

¿Qué es IDP.Generic and How para eliminarlo con seguridad de Windows?

¿Qué es Win32: BogEnt y cómo eliminarlo?

Error fallido Fix Search al ejecutar Chrome Malware Scanner

Cómo usar Malwarebytes Anti-Malware para eliminar Malware

Criptojacking el nuevo browser mining threat que necesita saber sobre

¿Qué es un Backdoor attack? Meaning, Examples, Definitions

Consejos para proteger su computadora contra Thunderspy attack

Microsoft Windows Logo process en Task Manager; ¿Es un virus?

Cómo eliminar Malware de su PC en Windows 10

Cómo usar Avast Boot Scan para eliminar Malware de Windows PC

Prevent Drive-by descargas y ataques de malware relacionados

Cómo prevenir Malware - Consejos para asegurar Windows 11/10

Crystal Security es un Cloud gratuito basado en Malware Detection Tool para PC

¿Qué son los archivos^(Files) DLL o las bibliotecas de vínculos dinámicos ?^{(Dynamic Link Libraries)}