🤔 프로그램이 무지성으로 DLL 로드해 충격

해킹 알려줄게

8화: DLL Hijacking

안녕하세요! 2주 만에 돌아온 해킹 알려줄게 입니다. 😎

늘 사용하던 프로그램을 실행했을 뿐이었는데 악성 코드가 실행된다면 어떨까요? 또 이런 행위가 단순히 파일 하나를 삽입하는 것만으로도 쉽게 일어날 수 있다면요? 너무나도 쉽게 많은 프로그램을 공격할 수 있겠죠! 😱

그래서 어떤 공격 기법이냐구요? 바로 오늘 들고 온 주제는 DLL Hijacking 입니다!

DLL이 뭔가요?

아마 Windows 운영체제를 사용하면서 여러 폴더를 들여다보면 심심치 않게 .dll이라는 확장자가 붙은 파일들을 쉽게 보실 수 있어요.

특히나 게임을 즐겨하시는 분들이라면 위의 경고창처럼 .dll 확장자를 가진 특정 파일이 없어 발생하는 오류 메시지를 보신 적이 있을 겁니다! 게임을 하기 위해 열심히 DirectX를 설치했던 기억이 새록새록 나네요. 🤭

DLL은 라이브러리의 일종입니다. 라이브러리는 개발자들이 자주 쓰는 기능들은 매번 개발할 때마다 다시 코드를 작성하기가 번거로워 중복 개발을 피하기 위해 자주 쓰는 기능의 코드들을 모아 놓은 파일을 말해요!

그리고 개발 초기에 라이브러리는 해당 라이브러리가 필요한 프로그램 파일마다 포함되었습니다. 하지만 같은 라이브러리가 여러 프로그램에 중복된 것 또한 낭비겠죠? 🤔

그래서 "하나의 라이브러리를 필요한 프로그램마다 그때그때 공유하여 쓰자!"라는 생각으로 나오게 된 것이 동적 링크 라이브러리(Dynamic Link Library), DLL 인 것이죠. 쉽게 비교해보자면 초기 라이브러리는 필요한 책이 있다면 모든 사람이 구매해야 하는 서점이고, DLL은 필요한 책이 필요한 사람이 대여해가는 도서관으로 생각할 수 있겠네요! 😉 (조금 더 DLL이 궁금하시다면? 클릭!)

DLL 사용의 장점이 더 있나요?

더 적은 메모리를 사용한다는 것 외에도 DLL 사용에 큰 장점이 하나 더 있습니다! 바로 수정과 관리가 쉽다는 점입니다. 만약 초기 라이브러리를 사용하는데 특정 함수에서 보완/수정해야 할 점이 생기면 어떻게 할까요? 라이브러리를 사용하는 프로그램마다 함수를 수정해야 합니다. 😭 하지만 DLL을 사용한다면 DLL 파일 하나만을 수정해도 해당 라이브러리를 사용하는 모든 프로그램에서 수정하는 것과 같은 효과를 지닙니다! 그렇기 때문에 보완/수정 면에서 뛰어납니다.

그래서 DLL Hijacking은 뭔가요?

DLL이라는 것도 알았겠다. DLL Hijacking이 뭔지 대충 짐작이 가시나요? DLL Hijacking이니까 프로그램에서 사용하는 DLL을 납치하는 기법인 걸까요? 정확히 말하자면, DLL이 사용될 기회를 빼앗기는 것입니다.

DLL Hijacking은 Windows 기반 애플리케이션이 DLL을 로딩하는 과정에서 발생할 수 있는 취약점이에요. 그러니까 프로그램이 DLL을 어떻게 로딩해서 사용하는지 살펴보면서 함께 이해해보도록 해요! 🤗

어떤 프로그램에서 C:\Windows\hackyboiz.dll 이라는 파일을 사용한다고 가정해보겠습니다. 그렇다면 실행파일에서 당연히 hackyboiz.dll을 사용한다 라는 정보를 가지고 있고 프로그램에서는 해당 정보를 읽어 hackyboiz.dll파일을 로드해 사용하게 됩니다.

사용자마다 컴퓨터 환경이 다르기 때문에 해당 DLL파일이 명시한 경로에 존재하지 않거나 사용하고자 하는 DLL파일의 절대경로를 제대로 지정을 하지 않는 경우는 어떻게 할까요? 🤔

OS는 DLL 탐색 우선순위에 따라 해당 DLL파일을 찾아 로드하게 됩니다.

1. 실행 파일이 있는 폴더에 있는 DLL 파일

2. 시스템 폴더에 있는 DLL 파일

3.윈도우 폴더에 있는 DLL 파일

4.현재 작업 경로에 있는 DLL 파일

5.윈도우 환경설정 정보에 있는 기본 경로 중에 있는 DLL 파일

위는 기본적인 DLL 탐색 우선순위입니다. 사용하고자 하는 DLL 파일이 시스템 폴더에 있지 않으면 윈도우 폴더에서 찾는 식으로 DLL 파일을 탐색하게 됩니다. 그렇다면 프로그램에서 윈도우 폴더에 있는 hackyboiz.dll 을 사용하려고 할 때 누군가 시스템 폴더에 hackyboiz.dll 을 만들어 놓는다면 어떻게 될까요? 맞아요! 시스템 폴더에 있는 hackyboiz.dll 이 로드되겠죠. 그리고 윈도우 폴더에 있던 원래 hackyboiz.dll 파일은 사용될 기회를 빼앗기게 된 것입니다. 만약 시스템 폴더에 있는 DLL 파일이 악성코드가 포함된 파일이라면 평소에 잘 사용하던 프로그램이더라도 갑자기 악성코드가 실행될 수 있겠죠? 😖 이런식으로 DLL Hijacking은 악성코드가 목표로 하는 시스템에 들키지 않고 오래 남아있기 위해 사용되기도 합니다. 혹은 더 높은 권한으로 실행되는 프로그램에 심어서 권한탈취 용도로 많이 활용되기도 해요!

어떻게 막을 수 있을까요?

가장 쉬운 방법은 DLL 로딩시 LoadLibrary()대신 LoadLibraryExW()를 사용하는 방법이 있습니다.

무엇이 다르길래 DLL Hijacking을 방지할 수 있는 걸까요? 위의 예시 코드처럼 hackyboiz.dll 로드를 위해 LoadLibrary()를 사용하면 해당 파일이 없을 경우 탐색 우선순위에 따라 DLL 파일을 찾게 됩니다.

하지만 LOAD_LIBRARY_SEARCH_SYSTEM32와 같은 파라미터를 추가해 LoadLibraryExW()를 사용하면 파라미터로 지정한 폴더만 탐색해 추가적인 탐색 없이 해당 DLL이 특정 폴더에 존재하지 않으면 DLL 관련 오류로 프로그램을 중지합니다. 그래서 DLL Hijacking을 방지할 수 있는 것이죠!

하지만 위의 방식은 프로그램 사용자 입장에서 취할 수 있는 조치가 아닙니다. 그렇다면 사용자 입장에서 DLL Hijacking 방지하기 위해서는 어떤 방법이 있을까요? DLL Hijacking은 가장 근본적으로 컴퓨터에 있는 악성 DLL 파일로 인해 일어나는 것이기 때문에 아무 이메일이나 열어 보거나 출처가 불분명한 파일은 다운받지 않는 등 악성 DLL이 설치되지 않도록 하는 것이 가장 좋은 예방 방법입니다. 사실 방화벽과 여러 백신 프로그램들로 인해 다른 사람의 컴퓨터에 악성 DLL을 심는다는 것은 매우 어려운 일입니다. 그러므로 백신과 방화벽을 항상 최신 버전으로 유지하는 것도 잊지 마세요! 😆

실제 DLL Hijacking이 어떻게 사용되는지 궁금하다면?

[하루한줄] Windows Server 2012에서 발견된 DLL Hijacking 취약점

[하루한줄] I v ati unified Endpoint Manager에서 발견된 DLL hijacking을 이용한 권한 상승 취약점

오늘의 해킹 알려줄게는 여기까지! 다음주에 더 재미있는 내용으로 찾아오겠습니다. 🤗

by poosic

오늘 전해드린 내용이 마음에 드셨나요?

주위 친구들에게 뉴스레터를 추천해주세요!

다음주에도 알찬 내용으로 돌아오겠습니다. 😙