Inyeccion de DLL
¿Qué es Inyeccion de DLL?
Inyeccion de DLLTecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante.
La inyeccion de DLL fuerza a un proceso en ejecucion a mapear una DLL maliciosa en su espacio de direcciones; despues, su DllMain o una funcion exportada se ejecuta con los privilegios y la confianza del proceso anfitrion. Las implementaciones clasicas usan OpenProcess, VirtualAllocEx y WriteProcessMemory para escribir la ruta de la DLL y luego CreateRemoteThread sobre LoadLibraryA. Las variantes incluyen reflective DLL loading (sin fichero en disco), SetWindowsHookEx y abuso del registro AppInit_DLLs. MITRE ATT&CK la cataloga como T1055.001 dentro de Process Injection. Las defensas incluyen EDR con tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), procesos protegidos, firma de codigo, bloqueo de creacion remota de threads en procesos criticos y monitorizacion de Sysmon event 8.
● Ejemplos
- 01
Un beacon de Cobalt Strike migrando a svchost.exe inyectando una DLL via CreateRemoteThread.
- 02
Malware abusando de AppInit_DLLs para cargar una DLL que roba credenciales en cada proceso interactivo.
● Preguntas frecuentes
¿Qué es Inyeccion de DLL?
Tecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyeccion de DLL?
Tecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante.
¿Cómo defenderse de Inyeccion de DLL?
Las defensas contra Inyeccion de DLL combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.