Siofra, un software que permite analizar y detectar DLLs que han sido “secuestradas”

Escrito por Adrián Crespo

No se trata de una nueva técnica de ataque. Al menos lleva en funcionamiento 20 años. Pero el transcurso de los años no evita que los ciberdelincuentes continúen utilizando esta técnica para infectar los equipos de los usuarios con sistema operativo Windows. Un experto en seguridad ha desarrollado una herramienta que es capaz de analizar DLLs y determinar si han sido secuestradas. Ha sido bautizada con el nombre de Siofra.

No es fácil conseguir que el ataque funcione. Si después del proceso el resultado es satisfactorio, el atacante ha conseguido que su software adquiera persistencia en el equipo, algo fundamental y que buscan muchos propietarios de malware. En muchos casos, los antivirus son capaces de detener la amenaza y llevar a cabo su eliminación. Incluso un reinicio del dispositivo bastaría para que el software no se ejecute de nuevo. Pero el ataque basado en DLLs va un paso más allá y destaca precisamente por garantizar persistencia y ejecución permanente, o al menos hasta que se realice la reinstalación del sistema operativo.

Para llevar a cabo este ataque, los ciberdelincuentes concentran sobre todo sus esfuerzos en afectar a librerías que sean utilizadas por procesos que estén en ejecución, prefiriendo sobre todo aquellas que pertenece al sistema operativo Windows.

Forrest Williams ha sido el experto en seguridad encarga de desarrollar esta herramienta con una doble función. No solo permite analizar las DDLs en busca de aquellas que han sido secuestradas. También ofrece la posibilidad de saber cómo se puede llevar a cabo la explotación de la vulnerabilidad.

Siofra es una herramienta que ayuda a los dos bandos

O al menos es lo que parece a simple vista. El investigador ha informado sobre este aspecto para tratar de calmar las aguas. Son muchas las críticas que le han llovido, pero todo parece indicar que se trata de una solución radical. Microsoft esta importancia en muchas ocasiones a los fallos de seguridad que permiten el secuestro de las DLLs de sus sistemas operativos. De este modo, se verán obligados a tomar cartas en el asunto e involucrarse de una forma directa para poner punto y final a los problemas.

Podría decirse que el resultado es el mismo que cuando se publica el exploit o la forma de aprovecharse de una vulnerabilidad, buscando que la empresa afectada reaccione y ponga una solución sobre la mesa.

¿En qué consiste el “secuestro de DLLs?

Lo hemos mencionado en varias ocasiones, pero no hemos concretado en exceso. Para todos aquellos que no conozcan esta técnica de infección, se trata de una forma de instalar software malicioso en un dispositivo con sistema operativo Windows utilizando como alojamiento las librerías dinámicas existentes. Si a esto le sumamos que todas ellas serán utilizadas por un proceso autorizado en el sistema, nos encontramos con el escenario ideal para adquirir persistencia y ejecutar código con el nivel máximo de privilegios.

El investigador y desarrollador de la herramienta argumenta que no se está asistiendo a un crecimiento de estos ataques, sino al aumento de fallos de seguridad en estas librerías que no están encontrando solución alguna por parte de Microsoft.

Fuente > Security Week

Últimos análisis

Valoración RZ
7
Valoración RZ
9
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10