Inyeccion de procesos
¿Qué es Inyeccion de procesos?
Inyeccion de procesosFamilia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
La inyeccion de procesos abarca cualquier metodo que coloca codigo controlado por el atacante en la memoria de otro proceso y consigue que este lo ejecute, de modo que la actividad parece provenir de un programa firmado o esperado. Variantes habituales son la inyeccion de DLL, el reflective DLL loading, el process hollowing, la inyeccion via APC, el secuestro de threads y AtomBombing. Los objetivos suelen ser evasion, persistencia, escalada de privilegios y acceso a credenciales (por ejemplo, leer la memoria de LSASS). MITRE ATT&CK los agrupa como T1055 con subtecnicas. La deteccion se apoya en telemetria cross-process y de escritura en memoria del EDR, callbacks de kernel, eventos Sysmon 8 y 10, baselining de arboles padre-hijo y protecciones como Credential Guard y Code Integrity.
● Ejemplos
- 01
Process hollowing: arrancar notepad.exe en suspenso, desmapear su imagen, escribir un payload y reanudarlo.
- 02
Inyeccion APC desde un beacon en explorer.exe para sobrevivir sin dejar nuevos ficheros.
● Preguntas frecuentes
¿Qué es Inyeccion de procesos?
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Inyeccion de procesos?
Familia de tecnicas de evasion en la que el atacante ejecuta codigo malicioso dentro del espacio de memoria de un proceso legitimo para heredar su confianza e identidad.
¿Cómo funciona Inyeccion de procesos?
La inyeccion de procesos abarca cualquier metodo que coloca codigo controlado por el atacante en la memoria de otro proceso y consigue que este lo ejecute, de modo que la actividad parece provenir de un programa firmado o esperado. Variantes habituales son la inyeccion de DLL, el reflective DLL loading, el process hollowing, la inyeccion via APC, el secuestro de threads y AtomBombing. Los objetivos suelen ser evasion, persistencia, escalada de privilegios y acceso a credenciales (por ejemplo, leer la memoria de LSASS). MITRE ATT&CK los agrupa como T1055 con subtecnicas. La deteccion se apoya en telemetria cross-process y de escritura en memoria del EDR, callbacks de kernel, eventos Sysmon 8 y 10, baselining de arboles padre-hijo y protecciones como Credential Guard y Code Integrity.
¿Cómo defenderse de Inyeccion de procesos?
Las defensas contra Inyeccion de procesos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- attacks№ 332
Inyeccion de DLL
Tecnica de inyeccion de codigo que obliga a un proceso Windows a cargar y ejecutar una biblioteca dinamica (DLL) suministrada por el atacante.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- malware№ 649
Malware
Cualquier software diseñado intencionadamente para interrumpir, dañar u obtener acceso no autorizado a equipos, redes o datos.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
● Véase también
- № 1124Sysmon
- № 964Sandbox Escape
- № 331Secuestro de DLL
- № 610Secuestro mediante LD_PRELOAD