ClickCease Alerta: Nueva variante de DLL utilizada para la ejecución de código malicioso

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: Nueva variante de DLL utilizada para la ejecución de código malicioso

Wajahat Raja

15 de enero de 2024 - Equipo de expertos TuxCare

Recientes investigaciones han sacado a la luz una nueva variante de DLL relacionada con técnicas de secuestro de órdenes de búsqueda. Según informes recientes, esta variante de la biblioteca de vínculos dinámicos podría ser utilizada por agentes de amenazas para ejecución de código malicioso. Los ciberdelincuentes son capaces de explotar estas vulnerabilidades de archivos DLL para eludir los mecanismos de seguridad. Según los resultados de la investigación, se cree que los sistemas que funcionan con Microsoft Windows 10 y 11 están en riesgo.

En este artículo, nos sumergiremos en cómo esta nueva variante de DLL puede ser explotada y detección de variantes DLL y protocolos de prevención de ataques.

 

Nuevos exploits potenciales de variantes DLL 


Investigadores de la empresa de ciberseguridad Security Joes han identificado una
nueva variante DLL relacionada con el secuestro de órdenes de búsqueda. Quienes deseen protegerse de los ataques basados en DLL deben comprender en qué consiste el secuestro de órdenes de búsqueda antes de desplegar cualquier mecanismo de prevención.

La técnica permite a los actores de amenazas persistir dentro de un sistema, lo que les permite elevar sus privilegios mientras evaden la detección al mismo tiempo. Los actores de amenazas que despliegan estas técnicas se basan en aplicaciones del sistema que no especifican la ruta completa de las DLL necesarias, ya que han predefinido un orden de búsqueda.

Los medios de comunicación han citado a investigadores de ciberseguridad de Security Joes afirmando que la nueva variante DLL técnica "aprovecha los ejecutables que se encuentran habitualmente en la carpeta WinSxS de confianza y los explota mediante la clásica técnica de secuestro del orden de búsqueda de DLL". El uso de este enfoque elimina la necesidad de elevar los privilegios utilizados para llevar a cabo las intenciones maliciosas.

Cuando las aplicaciones de confianza ejecutan DLL maliciosasmaliciosas, permite a los actores de amenazas obtener acceso no autorizado. Este acceso puede utilizarse para llevar a cabo ejecución de código maliciosos. Los hackers pueden ocultar sus acciones y aumentar la superficie de ataque porque las aplicaciones de confianza ejecutan las DLL que el actor de la amenaza ha desplegado.


Análisis de amenazas de ciberseguridad para la nueva variante DLL


Expertos e investigadores han realizado un
análisis de amenazas a la ciberseguridad que sirve de prueba de concepto de posibles exploits resultantes de la Nueva variante DLL DLL. Para llevar a cabo el experimento, los investigadores crearon una carpeta de escritorio titulada "NOT_A_FOLDER_MS". Tras crear la carpeta, el equipo utilizó Process Monitor para identificar las vulnerabilidades.

Como parte del análisis, se establecieron filtros para resultados específicos como "RUTA NO ENCONTRADA" y "NOMBRE NO ENCONTRADO". Para seguir analizando ciberamenazas y variantes de DLLse inyectó una DLL personalizada utilizando esta técnica de high-jacking. También se colocó junto a la DLL personalizada un ejecutable diseñado para lanzar y supervisar los binarios de la carpeta WinSxS.

Después, los investigadores lanzaron su herramienta personalizada, que identificó diferentes binarios como "ngentask.exe" y "aspnet_wp.exe" en la carpeta WinSxS. Vale la pena mencionar aquí que en el experimento de prueba de concepto, los binarios mencionados anteriormente buscaron sus respectivas DLL en la carpeta personalizada "NO_UNA_CARPETA_DEL_SISTEMA_MS" creado inicialmente por los investigadores.

Como resultado de la prueba de concepto, el equipo fue capaz de inyectar una DLL personalizada en "ngentask.exe." Comprender a fondo este experimento de prueba de concepto es esencial para las organizaciones a medida que desarrollar una estrategia de ciberseguridad para garantizar la protección contra los riesgos de las bibliotecas de vínculos dinámicos.


Protocolos de protección contra las nuevas amenazas de variantes DLL


En cuanto al desarrollo de un protocolo de protección, cabe mencionar que la secuencia de ataque se basa principalmente en la carpeta WinSxS de Windows. Comprender por qué y cómo los actores de amenazas pueden utilizar la carpeta es esencial para garantizar la eficacia de las medidas preventivas. WinSxS es un componente crítico del sistema operativo Windows. Se utiliza principalmente para almacenar varias versiones de archivos de sistema y DLL importantes.

La nueva variante DLL aprovecha la autorización desarrollada y la confianza de la carpeta WinSxS. Esto permite a los actores de amenazas iniciar la ejecución de código malicioso malicioso sin ser detectados. Dada la gravedad de los ataques que podrían derivarse de la nueva variante DLL es esencial implementar medidas de ciberseguridad robustas. Para garantizar la protección contra este tipo de ataques, las organizaciones deben centrarse en el análisis de los procesos parentales.

Esta medida de prevención implica que los equipos de seguridad deben identificar los procesos inusuales relacionados con los binarios dentro de la carpeta WinSxS. Una vez identificados, es esencial que supervisen sus actividades y comunicaciones en red. Al hacerlo, es importante recordar que cualquier anormalidad relativa a su comportamiento puede ser un indicador de amenazas derivadas de la nueva variante DLL.


Conclusión 


Investigadores de ciberseguridad han identificado una
nueva variante de DLL relacionada con el secuestro de órdenes de búsqueda que, si se explota, puede utilizarse para obtener acceso no autorizado y ejecutar código malicioso.

Dado que la técnica aprovecha la confianza establecida, identificar las actividades maliciosas puede resultar complicado. Dada la naturaleza explotable de la variante y el daño potencial que puede causar, las organizaciones deben aplicar medidas proactivas de ciberseguridad para proteger sus sistemas.

Las fuentes de este artículo incluyen artículos en The Hacker News y GRIDINSOFT.

Resumen
Alerta: Nueva variante de DLL utilizada para la ejecución de código malicioso
Nombre del artículo
Alerta: Nueva variante de DLL utilizada para la ejecución de código malicioso
Descripción
Aprenda todo sobre la nueva variante de DLL que podría ser utilizada para la ejecución de código malicioso. Obtenga información y proteja sus sistemas hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín