DLL Side-Loading Nedir? Güvendiğiniz Programların Gizli Tehlikesi
DLL Side-Loading (DLL Yan Yükleme), bir siber saldırganın, meşru ve güvenilir bir programı, kendi kötü amaçlı DLL dosyasını çalıştırması için kandırdığı, son derece sinsi ve etkili bir siber saldırı tekniğidir. Bu yöntem sayesinde, zararlı yazılım, güvendiğiniz bir uygulamanın (örneğin bir video oynatıcı veya PDF okuyucu) kimliği arkasına saklanarak, antivirüs programlarını ve diğer güvenlik önlemlerini kolayca atlatabilir.
“Nedir?” serimizin bu bölümünde, bu “dijital Truva Atı” yönteminin ne olduğunu, nasıl çalıştığını ve neden bu kadar tehlikeli olduğunu inceliyoruz.
Önce Temel Kavram: DLL Nedir?
Bu saldırıyı anlamak için önce DLL (Dynamic Link Library / Dinamik Bağlantı Kütüphanesi)‘nin ne olduğunu bilmek gerekir. DLL dosyaları, birçok farklı program tarafından aynı anda kullanılabilen, paylaşılan kod ve veri kütüphaneleridir. Bir program çalıştığında, ihtiyaç duyduğu belirli işlevleri (örneğin bir pencere açma veya bir dosyayı yazdırma) bu DLL dosyalarından çağırır. Bu, programların daha küçük boyutlu ve daha verimli olmasını sağlar.
DLL Side-Loading Tam Olarak Nedir? “Sahte Kütüphaneci” Benzetmesi
DLL Side-Loading saldırısını, bir kütüphanedeki kötü niyetli birine benzetebiliriz.
- Meşru Program (Öğrenci): Bu, belirli bir kitabı (belirli bir işlevi) arayan öğrencidir.
- Orijinal DLL Dosyası (Gerçek Kitap): Bu, öğrencinin aradığı gerçek kitaptır.
- İşletim Sistemi (Kütüphane Görevlisi): Normalde, öğrenciye doğru kitabı bulması için yardımcı olan kişidir.
- Saldırganın Zararlı DLL’i (Sahte Kitap): Saldırgan, aranan kitabın birebir aynısı gibi görünen ama içi zehirli bilgilerle dolu sahte bir kitap hazırlar.
Saldırgan, bu sahte kitabı, öğrencinin arama yapacağı ilk yere (programın çalıştığı klasöre) koyar. Öğrenci (program), kitabı aradığında, kütüphane görevlisine sormadan önündeki bu ilk sahte kitabı bulur ve açar. Böylece, farkında olmadan zehirlenmiş olur.
Saldırı Adım Adım Nasıl Çalışır?
- Hedef Seçimi: Saldırgan, bir programın, belirli bir DLL dosyasını ararken önce programın kendi klasörüne baktığını, orada bulamazsa Windows’un sistem klasörlerine baktığını bilir.
- Dosyaları Yerleştirme: Saldırgan, hedef aldığı meşru programın (
ornek_program.exe) çalıştırılabilir dosyasını ve ihtiyaç duyduğu meşru DLL dosyasıyla aynı isme sahip olan kendi kötü amaçlı DLL’sini (guvenli_kutuphane.dll), aynı klasörün içine koyar. - Kurbanı Kandırma: Bu dosyaları genellikle bir ZIP arşivi içinde, bir oltalama (phishing) e-postasıyla kurbana gönderir.
- Tetikleme: Kurban, meşru görünen
ornek_program.exe‘ye tıkladığında, program çalışmak için ihtiyaç duyduğuguvenli_kutuphane.dlldosyasını aramaya başlar. Windows’un sistem klasörlerine bakmadan önce, ilk olarak kendi bulunduğu klasöre bakar ve saldırganın sahte DLL dosyasını bulur. - Enfeksiyon: Meşru program, bu kötü amaçlı DLL’i yükler ve içindeki zararlı kodu çalıştırır. Güvenlik yazılımları ise, bu işlemi meşru bir programın normal bir faaliyeti olarak gördüğü için genellikle alarm vermez.
| 🎯 Saldırıda Sıkça Kötüye Kullanılan Meşru Windows Programları |
svchost.exe |
rundll32.exe |
explorer.exe |
OneDrive.exe |
Neden Bu Kadar Tehlikeli?
- Gizlilik: Saldırı, meşru bir sürecin arkasına saklandığı için tespit edilmesi çok zordur.
- Güveni Kötüye Kullanma: Güvenlik duvarları ve antivirüsler, güvendikleri bir programın (örneğin OneDrive) yaptığı işlemlere genellikle izin verir.
- Kalıcılık: Saldırganlar, bu yöntemle sisteme bir arka kapı yerleştirerek kalıcı erişim sağlayabilirler.
DLL Side-Loading, siber suçluların cephaneliğindeki en etkili ve en sinsi silahlardan biridir. Bu tür tehditlere karşı korunmak için, güvenilir olmayan kaynaklardan indirilen programlara karşı her zaman şüpheci olmak ve gelişmiş bir güvenlik yazılımı kullanmak kritik öneme sahiptir.
Bir programın dijital imzasını veya kaynağını kontrol etmenin önemi hakkında ne düşünüyorsunuz? Bu tür gizli tehditlere karşı en iyi savunma sizce nedir? Düşüncelerinizi yorumlarda bizimle paylaşın!
Bu Konuyla İlgili Diğer“Nedir?”Yazılarımız:
Teknolojinin temelini oluşturan bu gibi karmaşık konuları anlaşılır kılan “Nedir?” serimizin yeni bölümleri için techneiro.com‘u takip etmeye devam edin!
