DLL EXPORT의 문제점 (후킹에 대한 위험)
1. 후킹(Hooking)이란?
후킹은 운영 체제나 프로그램의 API 호출 흐름을 가로채는 기술로, 특정 함수 호출이나 메시지 처리를 가로채어 조작하거나 다른 기능을 수행하도록 할 수 있습니다. 후킹은 프로그램의 정상적인 흐름을 변경해 악성 코드를 실행하거나 데이터를 탈취하는 등 여러 가지 보안 위협을 일으킬 수 있습니다.
- API 후킹: 프로그램이 호출하는 API 주소를 변경해 공격자가 원하는 코드가 실행되도록 하는 방법.
- DLL 후킹: DLL의 함수 호출을 가로채는 방식으로, 프로그램이 DLL 내 특정 함수를 호출할 때 이를 가로채 공격자의 코드를 실행하도록 유도.
2. DLL EXPORT와 후킹의 관계
DLL에서 __declspec(dllexport)로 외부에 노출된 함수는 프로그램이 사용하기 쉽도록 만들어져 있지만, 후킹 공격의 대상이 될 수 있습니다.
특히, Import Address Table (IAT) 후킹과 Inline 후킹이 주요한 공격 방법입니다.
IAT 후킹 예제
아래는 IAT 후킹을 통해 DLL의 원래 함수 대신 공격자가 정의한 악성 함수를 실행하도록 만드는 간단한 예제입니다.
// 원래 DLL 함수 (MyDLL.cpp)
extern "C" __declspec(dllexport) int Add(int a, int b) {
return a + b;
}
// 프로그램에서 사용하는 코드 (main.cpp)
#include <iostream>
#include <windows.h>
typedef int (*AddFunc)(int, int);
int main() {
HMODULE hDll = LoadLibrary("MyDLL.dll");
if (hDll == NULL) {
std::cerr << "DLL 로드 실패" << std::endl;
return 1;
}
AddFunc Add = (AddFunc)GetProcAddress(hDll, "Add");
if (Add == NULL) {
std::cerr << "함수 주소 로드 실패" << std::endl;
FreeLibrary(hDll);
return 1;
}
int result = Add(2, 3); // 정상적인 Add 함수 호출
std::cout << "Add(2, 3) = " << result << std::endl;
FreeLibrary(hDll);
return 0;
}
악성 코드로 IAT 후킹
IAT 후킹은 Import Address Table을 조작하여, 프로그램이 정상적으로 호출하는 DLL 함수를 가로채는 방식입니다.
아래는 Add 함수를 후킹해, 원래 함수 대신 악성 코드를 실행하게 만드는 예시입니다.
// 악성 후킹 함수 (MaliciousHook.cpp)
#include <iostream>
int HookedAdd(int a, int b) {
std::cout << "악성 코드 실행됨!" << std::endl;
return 0; // 실제 덧셈 대신 잘못된 값을 반환
}
// IAT 후킹 (IATHook.cpp)
#include <windows.h>
#include <iostream>
void HookIAT() {
HMODULE hModule = GetModuleHandle(NULL);
PIMAGE_DOS_HEADER pDOSHeader = (PIMAGE_DOS_HEADER)hModule;
PIMAGE_NT_HEADERS pNTHeaders = (PIMAGE_NT_HEADERS)((DWORD_PTR)pDOSHeader + pDOSHeader->e_lfanew);
DWORD_PTR importTableRVA = pNTHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress;
PIMAGE_IMPORT_DESCRIPTOR pImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)((DWORD_PTR)pDOSHeader + importTableRVA);
while (pImportDescriptor->Name != NULL) {
const char* dllName = (const char*)((DWORD_PTR)pDOSHeader + pImportDescriptor->Name);
if (_stricmp(dllName, "MyDLL.dll") == 0) { // MyDLL을 찾음
PIMAGE_THUNK_DATA pThunkData = (PIMAGE_THUNK_DATA)((DWORD_PTR)pDOSHeader + pImportDescriptor->FirstThunk);
while (pThunkData->u1.Function != NULL) {
FARPROC* ppfn = (FARPROC*)&pThunkData->u1.Function;
if ((DWORD_PTR)*ppfn == (DWORD_PTR)GetProcAddress(GetModuleHandle("MyDLL.dll"), "Add")) {
DWORD oldProtect;
VirtualProtect(ppfn, sizeof(DWORD_PTR), PAGE_EXECUTE_READWRITE, &oldProtect);
*ppfn = (FARPROC)HookedAdd; // Add 함수를 HookedAdd로 변경
VirtualProtect(ppfn, sizeof(DWORD_PTR), oldProtect, &oldProtect);
std::cout << "IAT 후킹 성공!" << std::endl;
return;
}
pThunkData++;
}
}
pImportDescriptor++;
}
}
int main() {
HookIAT(); // IAT 후킹 실행
// 이제 프로그램이 Add를 호출하면 HookedAdd가 호출됨
}
후킹 방지 방법
- 디지털 서명: DLL에 디지털 서명을 적용하여, 신뢰할 수 있는 출처에서 배포된 DLL만 로드되도록 해야 합니다.
- ASLR(Address Space Layout Randomization): ASLR을 사용하여 메모리 주소를 무작위화해, 공격자가 DLL 함수 주소를 예측하지 못하게 할 수 있습니다.
- Safe DLL Search Mode: Safe DLL Search Mode를 활성화하여 시스템 디렉터리에서 먼저 DLL을 찾도록 설정하면 악성 DLL 로드를 방지할 수 있습니다.
3. 결론
DLL EXPORT 함수는 프로그램 간의 상호작용을 용이하게 하지만, 후킹과 같은 보안 취약점에 노출될 수 있습니다. 이를 방지하기 위해서는 디지털 서명, ASLR, Safe DLL Search Mode 등 다양한 보안 기법을 적용해야 합니다.
반응형