Hijacking - это общий термин, обозначающий тип атаки, при котором злоумышленник незаконно захватывает контроль над установленным соединением, процессом, функцией или ресурсом легитимного пользователя в цифровой системе. Основная цель подобных атак - присвоить себе права, привилегии или сеанс работы жертвы для совершения несанкционированных действий от её имени.
Одной из наиболее распространённых форм является сессионное хищение, когда атакующий перехватывает или угадывает идентификатор сессии (например, токен или cookie) для получения доступа к веб-приложению под видом авторизованного пользователя. Другой известной разновидностью считается кликджекинг, при котором пользовательский интерфейс манипулируется с помощью невидимых или обманных элементов, заставляя жертву неосознанно нажимать на кнопки и ссылки, что приводит к выполнению скрытых команд.
Отдельным и технически важным подвидом является хищение, связанное с библиотеками динамической компоновки (DLL). Оно известно как DLL Hijacking или DLL-инъекция. Эта атака основана на том, как операционные системы, в первую очередь Windows, ищут и загружают необходимые DLL-библиотеки при запуске приложений. Если злоумышленник поместит вредоносный файл DLL в каталог поиска, который проверяется системой раньше, чем легитимный системный каталог, то будет загружена и исполнена его вредоносная библиотека. Например, приложение example.exe может пытаться загрузить библиотеку legit.dll. По умолчанию Windows может сначала искать эту DLL в текущей рабочей папке приложения. Если атакующий скопирует example.exe в контролируемую им директорию (например, на USB-накопитель) и разместит там же специально созданный вредоносный файл с именем legit.dll, то при запуске приложения с этого носителя будет загружена поддельная библиотека, что даст злоумышленнику выполнение произвольного кода в контексте запущенного приложения. Другим классическим примером является атака на известные уязвимые приложения, которые без должной проверки загружают DLL из текущего или временного каталога пользователя. Это позволяет реализовать атаку даже без физического доступа к системе, например, путём отправки архива с исполняемым файлом и вредоносной DLL по электронной почте.
Технически более сложным видом является хищение доменных имён, когда злоумышленник изменяет настройки DNS-сервера, чтобы перенаправить трафик, предназначенный для легитимного сайта, на свой контролируемый сервер. Это позволяет проводить фишинговые атаки или перехватывать данные. Браузерное хищение предполагает захват контроля над расширениями или самим браузером для модификации страниц, подмены поисковых результатов или кражи вводимой информации. В сетевой инфраструктуре атаки могут быть направлены на хищение протоколов маршрутизации, что позволяет перенаправлять потоки данных через систему злоумышленника.
Последствия успешного хищения бывают серьёзными: от кражи конфиденциальных данных и финансового мошенничества до полного нарушения доступности сервиса и компрометации целых сетей. Методы защиты строятся на принципах шифрования всего трафика, использования надёжных механизмов аутентификации, регулярного обновления программного обеспечения и повышения осведомлённости пользователей о социальной инженерии. В случае DLL Hijacking эффективными мерами являются использование абсолютных путей для загрузки библиотек, применение функций безопасной загрузки DLL, контроль целостности бинарных файлов и библиотек, а также запуск приложений с минимально необходимыми привилегиями, чтобы ограничить потенциальный ущерб. Таким образом, хищение представляет собой критическую угрозу, эксплуатирующую слабости в цепочке взаимодействия между пользователем, приложением и сетью.
