El ataque de carga lateral de DLL aprovecha el orden de búsqueda de Windows para inyectar DLL malicioso

La carga lateral de la biblioteca de vínculos dinámicos (DLL) es un método de ciberataque cada vez más popular que aprovecha la forma en que las aplicaciones de Microsoft Windows manejan los archivos DLL.

En tales ataques, el malware coloca un archivo DLL malicioso falsificado en un directorio WinSxS de Windows para que el sistema operativo lo cargue en lugar del archivo legítimo.

¿Qué es el ataque de carga lateral de DLL?

Generalmente, en MS Windows, los programas pueden definir qué bibliotecas se cargan en tiempo de ejecución especificando una ruta completa o utilizando otro mecanismo como un manifiesto. Un manifiesto de programa puede incluir redirecciones de DLL, nombres de archivo o rutas completas.

Por lo tanto, si un manifiesto se refiere solo a un nombre de archivo de biblioteca, se considera una referencia débil y es vulnerable a un ataque de carga lateral de DLL.

El ataque de carga lateral de DLL tiene como objetivo aprovechar las referencias de bibliotecas débiles y el orden de búsqueda predeterminado de Windows colocando un archivo DLL malicioso disfrazado de DLL legítimo en un sistema, que será cargado automáticamente por un programa legítimo.

El equipo de X-Force ha observado una «carga lateral de DLL utilizada por el troyano bancario Metamorphic, que suelta archivos MSI maliciosos que extraen un binario firmado y una DLL maliciosa para ejecutar un cargador de malware de segunda etapa».

La carga lateral de DLL está siendo utilizada por operadores de ransomware, que han aprovechado esto para ejecutar la carga útil de ransomware para evadir la detección de los productos de seguridad.

Los actores de amenazas que han aprovechado la carga lateral de DLL se basan en dos comportamientos:

  • Colocan un ejecutable firmado en un directorio de destino junto con la DLL maliciosa.
  • Mueven un ejecutable de Windows desde System32 o SysWow64 en la máquina de destino a un directorio no estándar y coloque la DLL maliciosa dentro de la misma carpeta.

El análisis dice que los actores de amenazas pueden evadir la detección utilizando la coincidencia de nombres de archivos cambiando el nombre del ejecutable binario, ya que la técnica de carga lateral seguirá siendo viable independientemente del nombre del ejecutable.

X-Force configuró utilidades de recopilación de datos para recopilar metadatos de puntos finales a escala. Una de esas utilidades es SideLoadHunter, que perfilará el punto final para DLL y ejecutables dentro de los perfiles de usuario, System32 y SysWow64.

Dado que los archivos ejecutables son vulnerables a la carga lateral en los sistemas Windows, X-Force ha migrado la lista de carga lateral conocida a una configuración de Sysmon destinada a registrar cargas de módulos para los archivos ejecutables y DLL asociados.

Por lo tanto, se llevan a cabo más investigaciones para crear una lista más detallada de archivos ejecutables y DLL que son objetivos para la carga lateral.

Los investigadores recomiendan a los usuarios que se aseguren de que todas las aplicaciones validadas y limpias estén instaladas en directorios protegidos por el administrador. Este paso restringe los permisos de escritura y ejecución a las carpetas de usuario e implementa el acceso con privilegios mínimos.