Inyección IFEO
¿Qué es Inyección IFEO?
Inyección IFEOTécnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
La inyección IFEO (MITRE ATT&CK T1546.012) abusa de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Originalmente para depuración, esta clave permite asociar un valor Debugger a un ejecutable: cuando Windows arranca ese programa, lanza el depurador pasando el binario original como argumento. Los atacantes registran su payload como depurador de ejecutables comunes (sethc.exe, utilman.exe, taskmgr.exe) para persistir, o usan la subclave GlobalFlag y SilentProcessExit para ejecutar código al finalizar un proceso objetivo. Requiere privilegios de administrador pero es muy efectiva y a menudo pasa desapercibida. Defensas: monitorizar escrituras IFEO con Sysmon evento 13, bloqueos por AppLocker y alertar sobre valores Debugger apuntando a binarios sin firmar.
● Ejemplos
- 01
Asignar un Debugger a sethc.exe para que pulsar cinco veces Shift en la pantalla de bloqueo abra una shell SYSTEM.
- 02
Configurar SilentProcessExit en lsass.exe para volcar credenciales al cerrarse.
● Preguntas frecuentes
¿Qué es Inyección IFEO?
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyección IFEO?
Técnica de persistencia y escalada de privilegios que abusa de la clave Image File Execution Options del registro de Windows para ejecutar código cuando se inicia un ejecutable objetivo.
¿Cómo funciona Inyección IFEO?
La inyección IFEO (MITRE ATT&CK T1546.012) abusa de HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. Originalmente para depuración, esta clave permite asociar un valor Debugger a un ejecutable: cuando Windows arranca ese programa, lanza el depurador pasando el binario original como argumento. Los atacantes registran su payload como depurador de ejecutables comunes (sethc.exe, utilman.exe, taskmgr.exe) para persistir, o usan la subclave GlobalFlag y SilentProcessExit para ejecutar código al finalizar un proceso objetivo. Requiere privilegios de administrador pero es muy efectiva y a menudo pasa desapercibida. Defensas: monitorizar escrituras IFEO con Sysmon evento 13, bloqueos por AppLocker y alertar sobre valores Debugger apuntando a binarios sin firmar.
¿Cómo defenderse de Inyección IFEO?
Las defensas contra Inyección IFEO combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Inyección IFEO?
Nombres alternativos comunes: Abuso de Image File Execution Options, Secuestro de depurador, Persistencia SilentProcessExit.
● Términos relacionados
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
- attacks№ 200
Secuestro COM
Técnica de persistencia que redirige la búsqueda de un CLSID del Component Object Model de Windows hacia código del atacante, ejecutándolo cuando un proceso instancia ese objeto.
- attacks№ 914
Persistencia por clave Run del registro
Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.
- attacks№ 1246
Persistencia por suscripción a eventos WMI
Técnica de persistencia que registra un filtro y un consumidor permanentes de eventos WMI para que el código del atacante se ejecute cuando ocurra un evento del sistema.
- attacks№ 975
Persistencia por tarea programada
Técnica de persistencia y ejecución en la que el atacante crea o modifica una tarea programada de Windows para ejecutar su payload por inicio de sesión, arranque o temporizador.
- attacks№ 054
AppInit_DLLs
Técnica heredada de persistencia en Windows que abusa de un valor del registro para que una DLL determinada se cargue en todo proceso de usuario que enlace user32.dll.