Secuestro mediante LD_PRELOAD
¿Qué es Secuestro mediante LD_PRELOAD?
Secuestro mediante LD_PRELOADTécnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
El secuestro vía LD_PRELOAD (MITRE ATT&CK T1574.006) abusa del enlazador dinámico GNU en Linux y en la mayoría de sistemas tipo Unix. Definiendo LD_PRELOAD (para un proceso concreto o una shell de usuario) o escribiendo una ruta en /etc/ld.so.preload (a nivel del sistema), el atacante fuerza a ld.so a cargar un objeto compartido antes que cualquier otra librería. El .so malicioso puede interceptar símbolos de libc como readdir, open, accept o write para ocultar archivos y procesos, robar credenciales o mantener un rootkit de usuario. La técnica funciona en binarios no setuid y la utilizan familias como HiddenWasp o Symbiote. Defensas: vigilar cambios en /etc/ld.so.preload (AIDE, auditd), restringirlo a root, detectar LD_PRELOAD inesperado y verificar libc con herramientas estáticas.
● Ejemplos
- 01
Escribir /usr/lib/libsel.so en /etc/ld.so.preload para que cada nuevo proceso cargue un rootkit de usuario.
- 02
Definir LD_PRELOAD para sshd y enganchar la autenticación PAM y capturar credenciales.
● Preguntas frecuentes
¿Qué es Secuestro mediante LD_PRELOAD?
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Secuestro mediante LD_PRELOAD?
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
¿Cómo funciona Secuestro mediante LD_PRELOAD?
El secuestro vía LD_PRELOAD (MITRE ATT&CK T1574.006) abusa del enlazador dinámico GNU en Linux y en la mayoría de sistemas tipo Unix. Definiendo LD_PRELOAD (para un proceso concreto o una shell de usuario) o escribiendo una ruta en /etc/ld.so.preload (a nivel del sistema), el atacante fuerza a ld.so a cargar un objeto compartido antes que cualquier otra librería. El .so malicioso puede interceptar símbolos de libc como readdir, open, accept o write para ocultar archivos y procesos, robar credenciales o mantener un rootkit de usuario. La técnica funciona en binarios no setuid y la utilizan familias como HiddenWasp o Symbiote. Defensas: vigilar cambios en /etc/ld.so.preload (AIDE, auditd), restringirlo a root, detectar LD_PRELOAD inesperado y verificar libc con herramientas estáticas.
¿Cómo defenderse de Secuestro mediante LD_PRELOAD?
Las defensas contra Secuestro mediante LD_PRELOAD combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Secuestro mediante LD_PRELOAD?
Nombres alternativos comunes: Abuso de ld.so.preload, Secuestro de librería compartida.
● Términos relacionados
- attacks№ 331
Secuestro de DLL
Ataque que abusa del orden de búsqueda de DLL en Windows para que un programa legítimo cargue una biblioteca controlada por el atacante en lugar de la legítima.
- attacks№ 238
Persistencia mediante cron
Técnica de persistencia en Linux y Unix que utiliza cron, anacron o temporizadores de systemd para reejecutar código del atacante en un intervalo o evento del sistema.
- attacks№ 608
Persistencia mediante launchd
Técnica de persistencia en macOS que instala un plist de LaunchDaemon o LaunchAgent para que launchd ejecute el código del atacante al arrancar, iniciar sesión o ante un disparador.
- malware№ 949
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.
- attacks№ 862
Inyeccion de procesos
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
● Véase también
- № 054AppInit_DLLs