Sinsajo

Nuevo método de ataque cibernético ‘Sinsajo’ elude la seguridad habitual

Las personas que amenazan la seguridad en línea pueden usar una nueva técnica llamada ‘Sinsajo’ para burlar los sistemas de seguridad y poner en funcionamiento un código malintencionado en los sistemas a los que han accedido. Los expertos en seguridad, Thiago Peixoto, Felipe Duarte e Ido Naor de Security Joes, explicaron que esta técnica es única ya que solo necesita un tipo específico de archivo (un DLL vulnerable) y copiar el código en la parte adecuada.

La técnica de Sinsajo se clasifica como una ‘inyección de procesos’, un tipo de ataque que permite a los atacantes introducir código en los procesos para superar las defensas y obtener más control. Con este método, los atacantes pueden ejecutar cualquier código que quieran en el espacio de memoria de un proceso en ejecución.

Hay varios métodos de inyección de procesos, cada uno requiere un conjunto de llamadas al sistema y APIs de Windows para hacer el trabajo. Los defensores pueden diseñar formas de detectar y detener estos ataques, ya que suelen necesitar que se ejecuten ciertos comandos y acciones. Pero lo que hace que Sinsajo sea diferente es que no necesita ejecutar los comandos y acciones de Windows que normalmente se monitorean para detectar ataques.

En lugar de ello, Sinsajo explota los archivos de Windows ya existentes que tienen un bloque de memoria protegido con permisos de lectura, escritura y ejecución. Se logra esto usando un archivo llamado msys-2.0.dll, que tiene un amplio espacio para cargar código malicioso y pasar desapercibido.

Los expertos en seguridad estudiaron dos formas de usar Sinsajo: la autoinyección y la inyección de proceso remoto. Ambos métodos permiten la inyección de código de una manera que mejora la efectividad del ataque y también evita la detección.

La primera técnica, la autoinyección, utiliza una aplicación personalizada para cargar el archivo DLL vulnerable y ejecutar el código malicioso. La segunda, la inyección de proceso remoto, usa el archivo DLL vulnerable para inyectar código en otro proceso.

Lo más novedoso de esta técnica es que no es necesario asignar memoria extra, establecer permisos o crear un nuevo proceso para iniciar el código malintencionado. Esto hace que Sinsajo sea diferente a otras técnicas y dificulta que los sistemas de detección habituales lo descubran.