El Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) ha
informado sobre el uso indebido de mavinject.exe, una utilidad legítima
de Microsoft, por parte de cibercriminales para inyectar cargas útiles de DLL
maliciosas en procesos legítimos. Esta técnica permite a los atacantes eludir
las medidas de seguridad y ocultar sus actividades maliciosas.
Mavinject.exe es una utilidad legítima de línea de comandos
proporcionada por Microsoft. Está diseñada para inyectar bibliotecas de
vínculos dinámicos (DLL) en procesos específicos dentro de un entorno de
virtualización de aplicaciones (App-V). Esta utilidad ha sido un componente
predeterminado de los sistemas operativos Windows desde Windows 10 versión
1607 y es un archivo ejecutable confiable firmado por Microsoft. Por lo tanto,
muchas soluciones de seguridad tienden a considerarlo como una aplicación
segura.
«Los cibercriminales explotan esta vulnerabilidad para inyectar una carga
útil de DLL maliciosa en un proceso legítimo que utiliza mavinject.exe»,
señala ASEC en su análisis detallado.
Los atacantes explotan la funcionalidad legítima de mavinject.exe para
inyectar DLL maliciosas en procesos benignos. El informe describe las
siguientes API clave de Windows que mavinject.exe utiliza durante este
proceso:
- OpenProcess: Obtiene un identificador para el proceso objetivo.
-
VirtualAllocEx: Asigna memoria dentro del espacio de memoria virtual
del proceso objetivo. - WriteProcessMemory: Escribe la ruta de la DLL en la memoria asignada.
-
CreateRemoteThread: Crea un nuevo hilo en el proceso objetivo y
llama a la función LoadLibraryW: para cargar y ejecutar la DLL
maliciosa.
Al usar mavinject.exe, los atacantes pueden ejecutar código externo y
evadir la detección.
El informe de ASEC proporciona ejemplos de cómo los actores de amenazas han
utilizado mavinject.exe en ataques reales:
-
Earth Preta (Mustang Panda): Se ha observado que este grupo APT utiliza
mavinject.exe para inyectar DLL maliciosas, como una puerta trasera,
en procesos legítimos como waitfor.exe. -
Grupo Lazarus: Este grupo de amenazas también ha empleado
mavinject.exe para inyectar DLL maliciosas en explorer.exe.
Detección
-
Supervisar la ejecución de mavinject.exe en la línea de comandos con
argumentos específicos (/INJECTRUNNING, /HMODULE). -
Supervisar llamadas a API como
OpenProcess, VirtualAllocEx, WriteProcessMemory y
CreateRemoteThread. - Rastrear la ruta de llamada de LoadLibraryW para detectar anomalías.
Respuesta
-
Implementar políticas para bloquear la ejecución de
mavinject.exe cuando la función App-V no esté en uso. - Establecer reglas para detectar la inyección de DLL entre procesos.
-
Comprobar periódicamente el historial de carga de DLL anormal en procesos
normales.
Fuente:
SecurityOnline