Secuestro mediante LD_PRELOAD
¿Qué es Secuestro mediante LD_PRELOAD?
Secuestro mediante LD_PRELOADTécnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
El secuestro vía LD_PRELOAD (MITRE ATT&CK T1574.006) abusa del enlazador dinámico GNU en Linux y en la mayoría de sistemas tipo Unix. Definiendo LD_PRELOAD (para un proceso concreto o una shell de usuario) o escribiendo una ruta en /etc/ld.so.preload (a nivel del sistema), el atacante fuerza a ld.so a cargar un objeto compartido antes que cualquier otra librería. El .so malicioso puede interceptar símbolos de libc como readdir, open, accept o write para ocultar archivos y procesos, robar credenciales o mantener un rootkit de usuario. La técnica funciona en binarios no setuid y la utilizan familias como HiddenWasp o Symbiote. Defensas: vigilar cambios en /etc/ld.so.preload (AIDE, auditd), restringirlo a root, detectar LD_PRELOAD inesperado y verificar libc con herramientas estáticas.
● Ejemplos
- 01
Escribir /usr/lib/libsel.so en /etc/ld.so.preload para que cada nuevo proceso cargue un rootkit de usuario.
- 02
Definir LD_PRELOAD para sshd y enganchar la autenticación PAM y capturar credenciales.
● Preguntas frecuentes
¿Qué es Secuestro mediante LD_PRELOAD?
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Secuestro mediante LD_PRELOAD?
Técnica de persistencia y secuestro de librerías en Linux que usa la variable LD_PRELOAD o /etc/ld.so.preload para inyectar código del atacante en procesos enlazados dinámicamente.
¿Cómo defenderse de Secuestro mediante LD_PRELOAD?
Las defensas contra Secuestro mediante LD_PRELOAD combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Secuestro mediante LD_PRELOAD?
Nombres alternativos comunes: Abuso de ld.so.preload, Secuestro de librería compartida.