Inyeccion de DLL
¿Qué es Inyeccion de DLL?
Inyeccion de DLLTecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante.
La inyeccion de DLL fuerza a un proceso en ejecucion a mapear una DLL maliciosa en su espacio de direcciones; despues, su DllMain o una funcion exportada se ejecuta con los privilegios y la confianza del proceso anfitrion. Las implementaciones clasicas usan OpenProcess, VirtualAllocEx y WriteProcessMemory para escribir la ruta de la DLL y luego CreateRemoteThread sobre LoadLibraryA. Las variantes incluyen reflective DLL loading (sin fichero en disco), SetWindowsHookEx y abuso del registro AppInit_DLLs. MITRE ATT&CK la cataloga como T1055.001 dentro de Process Injection. Las defensas incluyen EDR con tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), procesos protegidos, firma de codigo, bloqueo de creacion remota de threads en procesos criticos y monitorizacion de Sysmon event 8.
● Ejemplos
- 01
Un beacon de Cobalt Strike migrando a svchost.exe inyectando una DLL via CreateRemoteThread.
- 02
Malware abusando de AppInit_DLLs para cargar una DLL que roba credenciales en cada proceso interactivo.
● Preguntas frecuentes
¿Qué es Inyeccion de DLL?
Tecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyeccion de DLL?
Tecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante.
¿Cómo funciona Inyeccion de DLL?
La inyeccion de DLL fuerza a un proceso en ejecucion a mapear una DLL maliciosa en su espacio de direcciones; despues, su DllMain o una funcion exportada se ejecuta con los privilegios y la confianza del proceso anfitrion. Las implementaciones clasicas usan OpenProcess, VirtualAllocEx y WriteProcessMemory para escribir la ruta de la DLL y luego CreateRemoteThread sobre LoadLibraryA. Las variantes incluyen reflective DLL loading (sin fichero en disco), SetWindowsHookEx y abuso del registro AppInit_DLLs. MITRE ATT&CK la cataloga como T1055.001 dentro de Process Injection. Las defensas incluyen EDR con tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), procesos protegidos, firma de codigo, bloqueo de creacion remota de threads en procesos criticos y monitorizacion de Sysmon event 8.
¿Cómo defenderse de Inyeccion de DLL?
Las defensas contra Inyeccion de DLL combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- attacks№ 862
Inyeccion de procesos
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- malware№ 649
Malware
Cualquier software diseñado intencionadamente para interrumpir, dañar u obtener acceso no autorizado a equipos, redes o datos.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.