Skip to content

Explica la inyección de procesos, da un par de técnicas y di cómo la detecta un equipo azul.

Respuesta breve

La inyección de procesos ejecuta el código del atacante dentro del espacio de memoria de un proceso legítimo para que la actividad se mezcle y herede la confianza de ese proceso. Las técnicas clásicas incluyen la inyección de DLL (CreateRemoteThread + LoadLibrary), el process hollowing (lanzar un proceso benigno suspendido, desmapearlo, escribir código malicioso) y la inyección APC. Los defensores la detectan con hooks de API del EDR, relaciones padre/hijo o regiones de memoria anómalas (RWX, memoria ejecutable sin respaldo en archivo) y eventos CreateRemoteThread de Sysmon.

La inyección de procesos es una técnica central de evasión de defensas: en vez de ejecutarse como su propio proceso sospechoso, el malware se ejecuta dentro de un proceso de confianza (como explorer.exe o svchost.exe). Eso le da dos ventajas: se oculta entre la actividad normal y hereda los permisos y la reputación de red del proceso anfitrión. Los entrevistadores preguntan esto para probar la profundidad en internos de Windows y la detección con EDR.

Técnicas comunes

  • Inyección de DLL: escribir la ruta de una DLL maliciosa en la memoria de un proceso objetivo y forzarlo a cargarla con CreateRemoteThread llamando a LoadLibrary. Simple y bien conocida.
  • Process hollowing (RunPE): lanzar un proceso legítimo suspendido, desmapear (vaciar) su imagen, escribir código malicioso en ese espacio, corregir el punto de entrada y reanudar. El proceso parece legítimo por fuera pero ejecuta el código del atacante.
  • Inyección APC: encolar una Asynchronous Procedure Call en un hilo para que la carga útil se ejecute cuando el hilo entra en un estado alertable.
  • Carga reflexiva de DLL / secuestro de hilos / «early bird»: variantes que evitan tocar el disco o LoadLibrary para esquivar los hooks.

La cadena de llamadas típica de Windows es OpenProcessVirtualAllocExWriteProcessMemoryCreateRemoteThread, que los EDR vigilan de cerca.

Detección

Los productos EDR hookean estas API y marcan las secuencias sospechosas. El escaneo de memoria atrapa las regiones RWX y la memoria ejecutable sin respaldo (código no mapeado desde un archivo en disco). El ID de evento 8 de Sysmon registra CreateRemoteThread, y el ID 10 registra ProcessAccess a procesos sensibles como LSASS. Las relaciones padre/hijo anómalas (p. ej. Word lanzando un proceso que inyecta en otro sitio) son señales potentes.

Por qué importa

Una respuesta de nivel senior nombra un par de técnicas con precisión, explica por qué la inyección evade la detección basada en archivos y procesos, y apunta a la telemetría de memoria y de comportamiento para detectarla, señalando a la vez que el software legítimo también inyecta, así que el contexto importa para evitar falsos positivos.

Posibles preguntas de seguimiento

  • ¿En qué se diferencia el process hollowing de la inyección de DLL clásica?
  • ¿Por qué la memoria RWX o ejecutable sin respaldo en archivo es una señal de alerta?
  • ¿Qué software legítimo también inyecta código, complicando la detección?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.