Descripción de la Tecnica
Shared Modules es una técnica de ciberseguridad relacionada con el MITRE ATT&CK que permite a los adversarios ejecutar payloads maliciosos cargando módulos compartidos en procesos. Estos módulos son archivos ejecutables reutilizables que proporcionan acceso a código personalizado o funciones del sistema operativo, como llamadas a API nativas (Native API). Esta técnica es utilizada para modularizar funcionalidades de malware y facilitar la invasión de sistemas.
¿Cómo Funciona?
Los adversarios pueden aprovechar la capacidad de cargar módulos compartidos para ejecutar código no autorizado. Por ejemplo, un malandro podría dividir su malware en múltiples módulos que se cargan dinámicamente en un proceso, permitiendo la reutilización de funciones específicas o la invocación de API del sistema. Este enfoque permite una mayor flexibilidad y reducción de rastros durante la operación.
La técnica está vinculada a T1106 (uso de API nativa) y T1129 (modularización de funcionalidad), lo que refleja su relación con el uso de módulos compartidos para interactuar con el sistema operativo.
Actores que la Utilizan
Adversarios en general pueden emplear esta técnica, incluyendo grupos o amenazas cibernéticas que buscan aprovechar vulnerabilidades relacionadas con la carga de módulos en sistemas operativos. No se especifican actores particulares en el contexto proporcionado.
Detección
La detección de esta técnica implica monitorear comportamientos anómalos, como la carga de módulos no autorizados o la invocación de APIs no estándar. Los sistemas de seguridad deben alertar sobre procesos que carguen módulos en memoria sin permiso, especialmente aquellos con características inusuales (ejemplo: tamaño, firma digital, etc.).
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: 1. Actualización constante de sistemas operativos y componentes críticos para cerrar vulnerabilidades conocidas. 2. Uso de Seguridad en la memoria (SDE) para detectar cargas no autorizadas de módulos. 3. Implementación de soluciones de protección endpoint que monitoren el uso de APIs nativas y la carga dinámica de módulos. 4. Monitoreo continuo de procesos sospechosos y análisis de comportamiento anómalo en tiempo real.