Sequestro de DLL
O que é Sequestro de DLL?
Sequestro de DLLAtaque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
O DLL hijacking (MITRE ATT&CK T1574.001) explora a forma como o Windows resolve bibliotecas dinâmicas: quando uma aplicação solicita uma DLL pelo nome sem caminho absoluto, o carregador percorre uma lista previsível de diretórios. Um atacante que consiga escrever uma DLL maliciosa numa dessas localizações de maior prioridade (diretório da aplicação, entrada PATH com escrita ou pasta side-by-side) consegue executar o seu código no contexto de um processo confiável e muitas vezes assinado. A técnica oferece execução e persistência e contorna várias listas de aplicações permitidas. As defesas incluem caminhos absolutos, SafeDllSearchMode, regras WDAC/AppLocker, monitorização de cargas via Sysmon evento 7 e correção de instaladores vulneráveis.
● Exemplos
- 01
Colocar uma version.dll maliciosa junto a um instalador assinado que a carrega da sua pasta.
- 02
Plantar uma DLL num diretório PATH com escrita, carregado por um serviço do sistema.
● Perguntas frequentes
O que é Sequestro de DLL?
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Sequestro de DLL?
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
Como funciona Sequestro de DLL?
O DLL hijacking (MITRE ATT&CK T1574.001) explora a forma como o Windows resolve bibliotecas dinâmicas: quando uma aplicação solicita uma DLL pelo nome sem caminho absoluto, o carregador percorre uma lista previsível de diretórios. Um atacante que consiga escrever uma DLL maliciosa numa dessas localizações de maior prioridade (diretório da aplicação, entrada PATH com escrita ou pasta side-by-side) consegue executar o seu código no contexto de um processo confiável e muitas vezes assinado. A técnica oferece execução e persistência e contorna várias listas de aplicações permitidas. As defesas incluem caminhos absolutos, SafeDllSearchMode, regras WDAC/AppLocker, monitorização de cargas via Sysmon evento 7 e correção de instaladores vulneráveis.
Como se defender contra Sequestro de DLL?
As defesas contra Sequestro de DLL costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sequestro de DLL?
Nomes alternativos comuns: Sequestro da ordem de busca de DLL, Pré-carregamento de DLL.
● Termos relacionados
- attacks№ 200
Sequestro COM
Técnica de persistência que redireciona a resolução de um CLSID do Component Object Model do Windows para código do atacante, executado sempre que o objeto é instanciado.
- attacks№ 054
AppInit_DLLs
Técnica legada de persistência no Windows que abusa de um valor do registo para carregar uma DLL específica em todos os processos de utilizador que ligam ao user32.dll.
- attacks№ 515
Injeção IFEO
Técnica de persistência e elevação de privilégios que abusa da chave de registo Image File Execution Options do Windows para executar código quando um executável-alvo é iniciado.
- attacks№ 914
Persistência por chave Run do registo
Técnica clássica de persistência do Windows que adiciona uma entrada numa chave Run ou RunOnce do registo para executar um binário ou script sempre que o utilizador inicia sessão.
- attacks№ 862
Injecao de processos
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
- attacks№ 610
Sequestro via LD_PRELOAD
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.
● Veja também
- № 1186Bypass de UAC
- № 639Mach-O
- № 809Formato executavel PE