Descripción de la Tecnica
DLL Sideloading es una técnica utilizada por actores maliciosos para aprovechar archivos de biblioteca dinámica (DLLs) en sistemas operativos Windows. Este método permite a los atacantes sustituir o modificar DLLs legítimas con versiones maliciosas, permitiendo la ejecución de código no autorizado y el logeo persistente en sistemas vulnerables. La técnica está documentada en MITRE: T1574.001, y se basa en mecanismos como la modificación del orden de búsqueda de DLLs o la inyección de código en archivos legítimos.
¿Cómo Funciona?
Un atacante puede aprovechar el sistema de carga de DLLs para insertar un archivo malicioso en una lista de rutas conocidas. Cuando una aplicación intenta cargar una DLL, el sistema cargará la versión modificada por el atacante en su lugar. Esto permite que el código malicioso se ejecute sin que los sistemas de seguridad detecten la actividad anormal. Métodos como el phantom DLL hijacking y la hijacking de orden de búsqueda son técnicas comunes para lograr este objetivo.
Actores que la Utilizan
No se disponen datos públicos sobre actores específicos que utilicen esta técnica. La técnica es ampliamente documentada en el framework MITRE ATT&CK, pero no hay información disponible sobre grupos o organizaciones maliciosas particularmente asociadas a ella.
Detección
La detección de DLL Sideloading implica monitorear comportamientos anómalos relacionados con la carga de DLLs. Esto incluye: - Cambios inesperados en archivos de sistema o aplicaciones. - Uso de rutas de búsqueda no estándar para cargar DLLs. - Ejecución de código en archivos que no deberían estar disponibles. - Anomalías en llamadas a sistemas relacionadas con la carga de módulos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Las medidas de mitigación incluyen: - Actualización constante de software y sistemas operativos para corregir vulnerabilidades. - Caja de selección de aplicaciones (whitelisting) para restringir la ejecución de archivos no autorizados. - Monitoreo de archivos críticos y rutas de búsqueda de DLLs. - Control estricto de permisos para limitar el acceso a recursos del sistema. - Auditoría continua de actividades relacionadas con la carga de módulos en el sistema.