Injecao de DLL
O que é Injecao de DLL?
Injecao de DLLTecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante.
A injecao de DLL forca um processo em execucao a mapear uma DLL maliciosa no seu espaco de enderecos; depois, a sua DllMain ou uma funcao exportada corre com os privilegios e a confianca do processo hospedeiro. Implementacoes classicas usam OpenProcess, VirtualAllocEx e WriteProcessMemory para gravar o caminho da DLL e depois CreateRemoteThread sobre LoadLibraryA. Variantes incluem reflective DLL loading (sem ficheiro em disco), SetWindowsHookEx e abuso do registo AppInit_DLLs. O MITRE ATT&CK regista a tecnica como T1055.001 dentro de Process Injection. As defesas incluem EDR com tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), processos protegidos, code signing, bloqueio de criacao de threads remotas em processos criticos e monitorizacao do Sysmon event 8.
● Exemplos
- 01
Um beacon Cobalt Strike a migrar para o svchost.exe injetando uma DLL via CreateRemoteThread.
- 02
Malware a abusar do AppInit_DLLs para carregar uma DLL de roubo de credenciais em todos os processos interativos.
● Perguntas frequentes
O que é Injecao de DLL?
Tecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injecao de DLL?
Tecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante.
Como se defender contra Injecao de DLL?
As defesas contra Injecao de DLL costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.