Secuestro de DLL
¿Qué es Secuestro de DLL?
Secuestro de DLLAtaque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
El DLL hijacking (MITRE ATT&CK T1574.001) explota cómo Windows resuelve las bibliotecas dinámicas: cuando una aplicación solicita una DLL por nombre sin una ruta absoluta, el cargador recorre una lista predecible de directorios. Un atacante que pueda escribir una DLL maliciosa en una de esas ubicaciones de mayor prioridad (el directorio de la aplicación, una entrada PATH escribible o una carpeta side-by-side) consigue ejecutar su código en el contexto de un proceso confiable y a menudo firmado. La técnica aporta ejecución y persistencia, y elude muchas listas de aplicaciones permitidas. Las defensas incluyen usar rutas absolutas, activar SafeDllSearchMode, aplicar reglas WDAC/AppLocker, monitorizar cargas de imágenes con Sysmon evento 7 y parchear instaladores vulnerables.
● Ejemplos
- 01
Colocar una version.dll maliciosa junto a un instalador firmado que la carga desde su propia carpeta.
- 02
Plantar una DLL en un directorio PATH escribible para que la cargue un servicio del sistema.
● Preguntas frecuentes
¿Qué es Secuestro de DLL?
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Secuestro de DLL?
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
¿Cómo funciona Secuestro de DLL?
El DLL hijacking (MITRE ATT&CK T1574.001) explota cómo Windows resuelve las bibliotecas dinámicas: cuando una aplicación solicita una DLL por nombre sin una ruta absoluta, el cargador recorre una lista predecible de directorios. Un atacante que pueda escribir una DLL maliciosa en una de esas ubicaciones de mayor prioridad (el directorio de la aplicación, una entrada PATH escribible o una carpeta side-by-side) consigue ejecutar su código en el contexto de un proceso confiable y a menudo firmado. La técnica aporta ejecución y persistencia, y elude muchas listas de aplicaciones permitidas. Las defensas incluyen usar rutas absolutas, activar SafeDllSearchMode, aplicar reglas WDAC/AppLocker, monitorizar cargas de imágenes con Sysmon evento 7 y parchear instaladores vulnerables.
¿Cómo defenderse de Secuestro de DLL?
Las defensas contra Secuestro de DLL combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Secuestro de DLL?
Nombres alternativos comunes: Hijacking de orden de búsqueda de DLL, Precarga de DLL.
● Términos relacionados
- attacks№ 200
Secuestro COM
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
- attacks№ 054
AppInit_DLLs
Técnica heredada de persistencia en Windows que abusa de un valor del registro para que una DLL determinada se cargue en todo proceso de usuario que enlace user32.dll.
- attacks№ 515
Inyección IFEO
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
- attacks№ 862
Inyeccion de procesos
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
- attacks№ 610
Secuestro mediante LD_PRELOAD
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
● Véase también
- № 1186Bypass de UAC
- № 639Mach-O
- № 809Formato ejecutable PE