Injecao de DLL
O que é Injecao de DLL?
Injecao de DLLTecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante.
A injecao de DLL forca um processo em execucao a mapear uma DLL maliciosa no seu espaco de enderecos; depois, a sua DllMain ou uma funcao exportada corre com os privilegios e a confianca do processo hospedeiro. Implementacoes classicas usam OpenProcess, VirtualAllocEx e WriteProcessMemory para gravar o caminho da DLL e depois CreateRemoteThread sobre LoadLibraryA. Variantes incluem reflective DLL loading (sem ficheiro em disco), SetWindowsHookEx e abuso do registo AppInit_DLLs. O MITRE ATT&CK regista a tecnica como T1055.001 dentro de Process Injection. As defesas incluem EDR com tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), processos protegidos, code signing, bloqueio de criacao de threads remotas em processos criticos e monitorizacao do Sysmon event 8.
● Exemplos
- 01
Um beacon Cobalt Strike a migrar para o svchost.exe injetando uma DLL via CreateRemoteThread.
- 02
Malware a abusar do AppInit_DLLs para carregar uma DLL de roubo de credenciais em todos os processos interativos.
● Perguntas frequentes
O que é Injecao de DLL?
Tecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Injecao de DLL?
Tecnica de injecao de codigo que forca um processo Windows alvo a carregar e executar uma biblioteca dinamica (DLL) fornecida pelo atacante.
Como funciona Injecao de DLL?
A injecao de DLL forca um processo em execucao a mapear uma DLL maliciosa no seu espaco de enderecos; depois, a sua DllMain ou uma funcao exportada corre com os privilegios e a confianca do processo hospedeiro. Implementacoes classicas usam OpenProcess, VirtualAllocEx e WriteProcessMemory para gravar o caminho da DLL e depois CreateRemoteThread sobre LoadLibraryA. Variantes incluem reflective DLL loading (sem ficheiro em disco), SetWindowsHookEx e abuso do registo AppInit_DLLs. O MITRE ATT&CK regista a tecnica como T1055.001 dentro de Process Injection. As defesas incluem EDR com tracing cross-process, callbacks de kernel (PsSetCreateProcessNotifyRoutineEx), processos protegidos, code signing, bloqueio de criacao de threads remotas em processos criticos e monitorizacao do Sysmon event 8.
Como se defender contra Injecao de DLL?
As defesas contra Injecao de DLL costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
● Termos relacionados
- attacks№ 862
Injecao de processos
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- malware№ 649
Malware
Qualquer software concebido intencionalmente para perturbar, danificar ou obter acesso não autorizado a computadores, redes ou dados.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.