La técnica Fileless de Bypass UAC (Control de Cuentas de Usuario) se trata de un enfoque utilizado para evadir o eludir las protecciones de UAC sin utilizar archivos tradicionales en el disco duro. El objetivo de esta técnica es obtener privilegios elevados sin generar actividad o dejar rastros en el sistema de archivos, lo que puede dificultar su detección por parte de las soluciones de seguridad.
En este artículo, te contaremos más acerca de una de las técnicas más famosas de Bypass UAC.
¿En qué consiste la técnica Fileless de Bypass UAC?
La técnica Fileless de Bypass UAC generalmente se basa en la explotación de vulnerabilidades o debilidades en los procesos legítimos del sistema operativo o en aplicaciones confiables que tienen permisos elevados. Estas técnicas pueden incluir:
Inyección de código
En esta técnica se aprovecha un proceso legítimo en ejecución para inyectar código malicioso en su espacio de memoria. Esto permite que el código malicioso se ejecute con los privilegios del proceso comprometido, que generalmente son elevados. El código inyectado puede realizar acciones con privilegios elevados sin activar las protecciones de UAC. Por ejemplo, se puede inyectar código en un proceso del sistema o en una aplicación con permisos administrativos.
Manipulación de registros
Algunas configuraciones de UAC están almacenadas en el registro del sistema operativo. Mediante la manipulación de estas claves de registro, un atacante puede modificar la configuración de UAC para desactivarla temporalmente o establecerla en un nivel más permisivo. Esto permitiría que los comandos maliciosos se ejecutasen con privilegios elevados sin activar el diálogo de consentimiento de UAC.
Creación de enlaces maliciosos
Los enlaces o accesos directos (archivos .LNK) pueden contener comandos maliciosos que se ejecutan cuando el enlace se abre. Los enlaces maliciosos pueden apuntar a comandos que requieren privilegios elevados, como ejecutar una utilidad o un script con permisos administrativos. Al abrir el enlace, los comandos maliciosos se ejecutan con los privilegios elevados sin activar las protecciones de UAC.
Ataques a servicios de Windows
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAlgunos servicios de Windows se ejecutan con privilegios elevados y pueden ser vulnerables a explotaciones o técnicas de escalada de privilegios. Si un atacante encuentra una vulnerabilidad en uno de estos servicios, puede aprovecharla para ejecutar comandos maliciosos con privilegios elevados, evitando así las restricciones de UAC.
¿Cómo funciona la técnica Fileless de Bypass UAC?
La técnica Fileless de Bypass UAC se basa en aprovechar vulnerabilidades o debilidades en el sistema operativo o en las aplicaciones confiables que tienen permisos elevados. A diferencia de los enfoques tradicionales que utilizan archivos en el disco duro, la técnica Fileless de Bypass UAC se ejecuta en memoria, lo que dificulta su detección por parte de las soluciones de seguridad que se centran en el análisis de archivos.
Veamos, pues, los pasos generales que podrían seguirse en una técnica Fileless de Bypass UAC:
- Identificación de una vulnerabilidad: el atacante busca y encuentra una vulnerabilidad en el sistema operativo, una aplicación o un servicio que se ejecuta con privilegios elevados y que puede explotarse para obtener acceso sin restricciones.
- Infiltración: el atacante explota la vulnerabilidad y se infiltra en el sistema con el fin de ejecutar código malicioso. Esto se puede lograr mediante técnicas como inyección de código en un proceso legítimo en ejecución o aprovechando una debilidad en un servicio de Windows.
- Ejecución de código malicioso: una vez dentro del sistema, se ejecuta el código malicioso directamente en la memoria, evitando así el uso de archivos en el disco duro. Esto puede lograrse a través de la inyección de código en un proceso legítimo, donde el código malicioso se ejecuta con los privilegios del proceso comprometido.
- Evitar la detección: al ejecutarse completamente en memoria, las técnicas Fileless evitan la detección por parte de soluciones de seguridad que se basan en el análisis de archivos. Además, dado que no se crean archivos adicionales en el sistema, se reducen la huella y los rastros dejados por el atacante.
¿Quieres seguir aprendiendo?
Como expertos informáticos, debemos estar pendientes de este tipo de vulnerabilidades, como la técnica Fileless de Bypass UAC. Si quieres saber más sobre temáticas de ciberseguridad y ser un experto en el tema, accede a nuestro Ciberseguridad Full Stack Bootcamp para convertirte en todo un profesional IT. Con esta formación de alta intensidad, contarás con la guía de nuestros profesores expertos para aprender todo lo necesario a nivel tanto teórico como práctico e impulsar tu carrera en poco tiempo. ¡Entra ahora para solicitar más información y da el paso que te cambiará la vida!