안녕하세요! 2주 만에 돌아온 해킹 알려줄게 입니다. 😎

늘 사용하던 프로그램을 실행했을 뿐이었는데 악성 코드가 실행된다면 어떨까요? 또 이런 행위가 단순히 파일 하나를 삽입하는 것만으로도 쉽게 일어날 수 있다면요? 너무나도 쉽게 많은 프로그램을 공격할 수 있겠죠! 😱

더 적은 메모리를 사용한다는 것 외에도 DLL 사용에 큰 장점이 하나 더 있습니다! 바로 수정과 관리가 쉽다는 점입니다. 만약 초기 라이브러리를 사용하는데 특정 함수에서 보완/수정해야 할 점이 생기면 어떻게 할까요? 라이브러리를 사용하는 프로그램마다 함수를 수정해야 합니다. 😭 하지만 DLL을 사용한다면 DLL 파일 하나만을 수정해도 해당 라이브러리를 사용하는 모든 프로그램에서 수정하는 것과 같은 효과를 지닙니다! 그렇기 때문에 보완/수정 면에서 뛰어납니다.

DLL이라는 것도 알았겠다. DLL Hijacking이 뭔지 대충 짐작이 가시나요? DLL Hijacking이니까 프로그램에서 사용하는 DLL을 납치하는 기법인 걸까요? 정확히 말하자면, DLL이 사용될 기회를 빼앗기는 것입니다. 

DLL Hijacking은 Windows 기반 애플리케이션이 DLL을 로딩하는 과정에서 발생할 수 있는 취약점이에요. 그러니까 프로그램이 DLL을 어떻게 로딩해서 사용하는지 살펴보면서 함께 이해해보도록 해요! 🤗

어떤 프로그램에서 C:\Windows\hackyboiz.dll 이라는 파일을 사용한다고 가정해보겠습니다. 그렇다면 실행파일에서 당연히 hackyboiz.dll을 사용한다 라는 정보를 가지고 있고 프로그램에서는 해당 정보를 읽어 hackyboiz.dll파일을 로드해 사용하게 됩니다. 

사용자마다 컴퓨터 환경이 다르기 때문에 해당 DLL파일이 명시한 경로에 존재하지 않거나 사용하고자 하는 DLL파일의 절대경로를 제대로 지정을 하지 않는 경우는 어떻게 할까요? 🤔 

OS는 DLL 탐색 우선순위에 따라 해당 DLL파일을 찾아 로드하게 됩니다.

위는 기본적인 DLL 탐색 우선순위입니다. 사용하고자 하는 DLL 파일이 시스템 폴더에 있지 않으면 윈도우 폴더에서 찾는 식으로 DLL 파일을 탐색하게 됩니다. 그렇다면 프로그램에서 윈도우 폴더에 있는 hackyboiz.dll 을 사용하려고 할 때 누군가 시스템 폴더에 hackyboiz.dll 을 만들어 놓는다면 어떻게 될까요? 맞아요! 시스템 폴더에 있는 hackyboiz.dll 이 로드되겠죠. 그리고 윈도우 폴더에 있던 원래 hackyboiz.dll 파일은 사용될 기회를 빼앗기게 된 것입니다. 만약 시스템 폴더에 있는 DLL 파일이 악성코드가 포함된 파일이라면 평소에 잘 사용하던 프로그램이더라도 갑자기 악성코드가 실행될 수 있겠죠? 😖 이런식으로 DLL Hijacking은 악성코드가 목표로 하는 시스템에 들키지 않고 오래 남아있기 위해 사용되기도 합니다. 혹은 더 높은 권한으로 실행되는 프로그램에 심어서 권한탈취 용도로 많이 활용되기도 해요!