🧠 DLL Injection vs DLL Hijacking – różnice, podobieństwa i przykłady ataków

DLL Injection i DLL Hijacking to dwie popularne techniki używane przez atakujących (i niekiedy przez zaawansowanych administratorów lub twórców narzędzi) do wstrzykiwania złośliwego kodu do legalnych procesów systemowych lub aplikacyjnych. Pomimo podobieństw w nazwie, różnią się mechanizmem działania, momentem uruchomienia, jak i celami atakującego.

🔍 Co to jest DLL Injection?

DLL Injection to technika polegająca na dynamicznym wstrzyknięciu biblioteki DLL do działającego procesu w celu wykonania dodatkowego (zazwyczaj złośliwego) kodu w jego kontekście.

🔧 Jak działa?

1. Napastnik uruchamia proces lub wykorzystuje istniejący.
2. Używa funkcji API Windows, takich jak:
   • OpenProcess()
   • VirtualAllocEx()
   • WriteProcessMemory()
   • CreateRemoteThread()
3. Te funkcje umożliwiają wstrzyknięcie i uruchomienie kodu DLL w kontekście obcego procesu.

🧪 Efekt: kod wstrzyknięty działa z tymi samymi uprawnieniami co oryginalny proces, często z wysokimi uprawnieniami.

📦 Co to jest DLL Hijacking?

DLL Hijacking polega na tym, że aplikacja podczas uruchamiania ładuje złośliwą bibliotekę DLL zamiast właściwej, ponieważ ta została wcześniej umieszczona w jednym z katalogów przeszukiwanych przez system.

🔧 Jak działa?

1. Legalna aplikacja nie dołącza jednej lub więcej wymaganych bibliotek DLL.
2. Windows przeszukuje katalogi w określonej kolejności (np. folder aplikacji, System32, PATH).
3. Jeśli atakujący umieści złośliwy plik .dll o tej samej nazwie w pierwszym przeszukiwanym folderze – to on zostanie załadowany.

🧪 Efekt: kod złośliwej biblioteki jest wykonywany podczas startu aplikacji, bez potrzeby jej modyfikacji.

🆚 Główne różnice: DLL Injection vs DLL Hijacking

🎯 Przykłady DLL Injection

• Cheaty w grach – wstrzyknięcie DLL do procesu gry (np. csgo.exe) w celu modyfikacji pamięci (aimbot, wallhack).
• Złośliwe oprogramowanie typu RAT – używa DLL Injection, aby ukryć działanie złośliwego kodu wewnątrz np. explorer.exe.
• Testy penetracyjne – narzędzia takie jak Metasploit, Cobalt Strike i Meterpreter korzystają z DLL Injection do wstrzykiwania payloadów.

🔧 Przykład (skrótowy kod PowerShell):

Add-Type -TypeDefinition @"
using System;
using System.Runtime.InteropServices;
public class Win32 {
    [DllImport("kernel32.dll")]
    public static extern IntPtr LoadLibrary(string dllName);
}
"@
[Win32]::LoadLibrary("C:\\zlosliwa.dll")

🎯 Przykłady DLL Hijacking

• Aplikacja korzysta z example.dll i nie dołącza jej w paczce instalacyjnej.
• Atakujący umieszcza własny plik example.dll w tym samym folderze, co aplikacja (np. %TEMP%, %USERPROFILE%).
• Po uruchomieniu – aplikacja ładuje złośliwą bibliotekę i wykonuje jej kod.

📌 Znane przypadki:

• CVE-2010-2568 – słynny przypadek hijackingu w ataku Stuxnet.
• Adobe Reader, VLC, Cisco VPN, Skype – były w przeszłości podatne na DLL Hijacking.
• Złośliwe pakiety MSI z dołączonymi DLL używanymi w atakach APT.

🛠 Narzędzia do wykrywania

🧩 Wnioski

🛡️ Jak się chronić?

Deweloperzy:

• ✅ Używaj LoadLibraryEx z odpowiednimi flagami
• ✅ Dołącz wszystkie DLL w pakiecie instalacyjnym
• ✅ Waliduj lokalizację i podpis DLL

Użytkownicy / Admini:

• 🔒 Ogranicz prawa zapisu w katalogach aplikacji
• 🔎 Monitoruj podejrzane biblioteki w folderach użytkownika
• 🛡️ Używaj EDR i systemów HIPS

Polecane wpisy

Jakie ataki szyfrowane będą popularne w 2025 roku?

Jakie ataki szyfrowane będą popularne w 2025 roku? Szyfrowanie stało się jednym z podstawowych narzędzi w zabezpieczaniu danych zarówno w Czytaj dalej

Jak działa darknet?

🕸️ Jak działa darknet? 🔍 Wyjaśnienie technicznych aspektów sieci Tor i innych technologii ukrywających tożsamość Darknet – przez jednych demonizowany, Czytaj dalej