Sequestro via LD_PRELOAD
O que é Sequestro via LD_PRELOAD?
Sequestro via LD_PRELOADTécnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.
O sequestro via LD_PRELOAD (MITRE ATT&CK T1574.006) abusa do ligador dinâmico GNU em Linux e na maioria dos Unix. Ao definir LD_PRELOAD (para um processo ou shell de utilizador) ou ao escrever um caminho em /etc/ld.so.preload (todo o sistema), o atacante força o ld.so a carregar um objeto partilhado antes de qualquer outra biblioteca. O .so malicioso pode capturar símbolos da libc como readdir, open, accept ou write para esconder ficheiros e processos, roubar credenciais ou manter um rootkit em modo utilizador. Funciona em binários não setuid e é amplamente usada por famílias como HiddenWasp e Symbiote. Defesas: vigiar /etc/ld.so.preload (AIDE, auditd), restringi-lo a root, alertar para LD_PRELOAD inesperado e verificar a libc com ferramentas estáticas.
● Exemplos
- 01
Escrever /usr/lib/libsel.so em /etc/ld.so.preload para que cada novo processo carregue um rootkit em modo utilizador.
- 02
Definir LD_PRELOAD para o sshd para fazer hook ao PAM e roubar credenciais.
● Perguntas frequentes
O que é Sequestro via LD_PRELOAD?
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Sequestro via LD_PRELOAD?
Técnica Linux de persistência e sequestro de bibliotecas que usa a variável LD_PRELOAD ou /etc/ld.so.preload para injetar código do atacante em processos ligados dinamicamente.
Como funciona Sequestro via LD_PRELOAD?
O sequestro via LD_PRELOAD (MITRE ATT&CK T1574.006) abusa do ligador dinâmico GNU em Linux e na maioria dos Unix. Ao definir LD_PRELOAD (para um processo ou shell de utilizador) ou ao escrever um caminho em /etc/ld.so.preload (todo o sistema), o atacante força o ld.so a carregar um objeto partilhado antes de qualquer outra biblioteca. O .so malicioso pode capturar símbolos da libc como readdir, open, accept ou write para esconder ficheiros e processos, roubar credenciais ou manter um rootkit em modo utilizador. Funciona em binários não setuid e é amplamente usada por famílias como HiddenWasp e Symbiote. Defesas: vigiar /etc/ld.so.preload (AIDE, auditd), restringi-lo a root, alertar para LD_PRELOAD inesperado e verificar a libc com ferramentas estáticas.
Como se defender contra Sequestro via LD_PRELOAD?
As defesas contra Sequestro via LD_PRELOAD costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sequestro via LD_PRELOAD?
Nomes alternativos comuns: Abuso de ld.so.preload, Sequestro de biblioteca partilhada.
● Termos relacionados
- attacks№ 331
Sequestro de DLL
Ataque que abusa da ordem de busca de DLL no Windows para fazer um programa legítimo carregar uma biblioteca controlada pelo atacante em vez da pretendida.
- attacks№ 238
Persistência via cron
Técnica de persistência em Linux e Unix que utiliza cron, anacron ou temporizadores do systemd para reexecutar código do atacante num intervalo ou evento do sistema escolhido.
- attacks№ 608
Persistência via launchd
Técnica de persistência no macOS que instala um plist de LaunchDaemon ou LaunchAgent para que o launchd execute código do atacante no arranque, no login ou num gatilho.
- malware№ 949
Rootkit
Malware furtivo que concede e oculta acesso privilegiado a um sistema operativo ou dispositivo, escapando às ferramentas de deteção comuns.
- attacks№ 862
Injecao de processos
Familia de tecnicas de evasao em que o atacante executa codigo malicioso dentro do espaco de memoria de um processo legitimo para herdar a sua confianca e identidade.
● Veja também
- № 054AppInit_DLLs