{"id":31527,"date":"2025-10-10T13:25:26","date_gmt":"2025-10-10T11:25:26","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31527"},"modified":"2025-10-10T13:25:26","modified_gmt":"2025-10-10T11:25:26","slug":"dll-hijacking-in-kaspersky-siem","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/dll-hijacking-in-kaspersky-siem\/31527\/","title":{"rendered":"Detecci\u00f3n de secuestro de DLL"},"content":{"rendered":"

Para eludir la detecci\u00f3n por parte de las soluciones de seguridad, los ciberdelincuentes emplean varias t\u00e9cnicas que enmascaran su actividad maliciosa. Uno de los m\u00e9todos cada vez m\u00e1s visto en los \u00faltimos a\u00f1os en los ataques a sistemas Windows es el secuestro de DLL<\/a>: la sustituci\u00f3n de las bibliotecas de enlaces din\u00e1micos (DLL) por maliciosas. Y las herramientas de seguridad tradicionales a menudo no detectan el uso de esta t\u00e9cnica.<\/p>\n

Para resolver este problema, nuestros colegas de Kaspersky AI Technology Research Center desarrollaron un modelo de aprendizaje autom\u00e1tico que puede detectar el secuestro de DLL con alta exactitud. Este modelo ya se ha implementado en la \u00faltima versi\u00f3n de nuestro sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform<\/a>. En esta publicaci\u00f3n, explicamos los desaf\u00edos de detectar el secuestro de DLL y c\u00f3mo nuestra tecnolog\u00eda los aborda.<\/p>\n

C\u00f3mo funciona el secuestro de DLL y por qu\u00e9 es dif\u00edcil de detectar<\/h2>\n

El inicio repentino de un archivo desconocido en un entorno de Windows inevitablemente llama la atenci\u00f3n de las herramientas de seguridad, o simplemente se bloquea. B\u00e1sicamente, el secuestro de DLL es un intento de hacer pasar un archivo malicioso como conocido y de confianza. Hay varias variaciones del secuestro de DLL: una es cuando los atacantes distribuyen una biblioteca maliciosa junto con software leg\u00edtimo (transferencia de DLL<\/a>) para que el software lo ejecute; otra es cuando reemplazan las DLL est\u00e1ndar que son llamadas por programas ya instalados en el ordenador; y tambi\u00e9n est\u00e1 la que consiste en manipular los mecanismos del sistema que determinan la ubicaci\u00f3n de la biblioteca que un proceso carga y ejecuta.<\/p>\n

Como resultado, el archivo DLL malicioso se inicia mediante un proceso leg\u00edtimo dentro de su propio espacio de direcciones y con sus propios privilegios; por lo tanto, los sistemas de protecci\u00f3n de endpoints habituales ven esta actividad como leg\u00edtima. Es por eso que nuestros expertos decidieron contrarrestar esta amenaza con el uso de tecnolog\u00edas de inteligencia artificial.<\/p>\n

Detecci\u00f3n de secuestro de DLL con ML<\/h2>\n

Los expertos del AI Technology Research Center entrenaron un modelo de ML para detectar el secuestro de DLL en funci\u00f3n de la informaci\u00f3n indirecta sobre la biblioteca y el proceso que la llam\u00f3. Identificaron indicadores clave de un intento de manipular una biblioteca: si el archivo ejecutable y la biblioteca est\u00e1n ubicados en rutas est\u00e1ndar, si se ha cambiado el nombre del archivo, si el tama\u00f1o y la estructura de la biblioteca han cambiado, si su firma digital est\u00e1 intacta, etc. Inicialmente entrenaron el modelo con datos sobre la carga de bibliotecas de enlaces din\u00e1micos, obtenidos tanto de sistemas internos de an\u00e1lisis autom\u00e1tico como de telemetr\u00eda an\u00f3nima de Kaspersky Security Network (KSN)<\/a> proporcionada voluntariamente por nuestros usuarios. Para el etiquetado, nuestros expertos utilizaron datos de nuestras bases de datos de reputaci\u00f3n de archivos.<\/p>\n

El primer modelo era bastante inexacto, por lo que antes de a\u00f1adirlo a la soluci\u00f3n, nuestros expertos realizaron m\u00faltiples iteraciones, perfeccionando tanto el etiquetado del conjunto de datos de entrenamiento como las caracter\u00edsticas que indican el secuestro de DLL. Como resultado, el modelo ahora detecta esta t\u00e9cnica con alta exactitud. En Securelist, nuestros colegas publicaron un art\u00edculo detallado<\/a> sobre c\u00f3mo desarrollaron esta tecnolog\u00eda: desde la hip\u00f3tesis inicial, pasando por las pruebas en Kaspersky Managed Detection and Response<\/a> y finalmente hasta la aplicaci\u00f3n pr\u00e1ctica en nuestra plataforma SIEM.<\/p>\n

Detecci\u00f3n de secuestro de DLL en Kaspersky SIEM<\/h2>\n

En el sistema SIEM, el modelo analiza los metadatos de los archivos DLL cargados y los procesos que los llamaron desde la telemetr\u00eda, marca los casos sospechosos y luego verifica su veredicto con los datos de la nube de KSN. Esto no solo mejora la exactitud de la detecci\u00f3n de secuestro de DLL, sino que tambi\u00e9n reduce los falsos positivos. El modelo puede funcionar tanto en el subsistema de correlaci\u00f3n como en el subsistema de recopilaci\u00f3n de eventos.<\/p>\n

En el primer caso, comprueba solo los eventos que ya activaron las reglas de correlaci\u00f3n. Esto permite una evaluaci\u00f3n de amenazas m\u00e1s precisa y una generaci\u00f3n de alertas m\u00e1s r\u00e1pida si es necesario. Como no se verifican todos los eventos, el volumen de consultas en la nube no afecta significativamente la velocidad de respuesta del modelo.<\/p>\n

En el segundo caso, el modelo procesa todos los eventos de carga de la biblioteca que cumplen determinadas condiciones. Este m\u00e9todo consume m\u00e1s recursos, pero resulta muy valioso para la b\u00fasqueda retrospectiva de amenazas.<\/p>\n

En otra publicaci\u00f3n del blog de Securelist, los colegas del Grupo de Investigaci\u00f3n Antimalware describieron en detalle<\/a> c\u00f3mo el modelo de detecci\u00f3n de secuestro de DLL ayuda a Kaspersky SIEM a detectar ataques dirigidos, con ejemplos reales de detecci\u00f3n temprana de incidentes.<\/p>\n

M\u00e1s importante a\u00fan, la exactitud del modelo solo continuar\u00e1 mejorando a medida que se acumulen m\u00e1s datos sobre amenazas y procesos leg\u00edtimos, y que los algoritmos de KSN evolucionen.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Nuestros expertos entrenaron un modelo de ML para detectar intentos de secuestro de DLL y lo integraron en el sistema Kaspersky SIEM.<\/p>\n","protected":false},"author":2706,"featured_media":31529,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,8,2019],"tags":[2151,3733,3680,3681,2911],"class_list":{"0":"post-31527","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-products","10":"category-technology","11":"tag-amr","12":"tag-dll","13":"tag-investigacion-en-tecnologia-de-ia","14":"tag-ml","15":"tag-siem"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dll-hijacking-in-kaspersky-siem\/31527\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dll-hijacking-in-kaspersky-siem\/29705\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/24776\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/12866\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dll-hijacking-in-kaspersky-siem\/29593\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/28642\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dll-hijacking-in-kaspersky-siem\/30185\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dll-hijacking-in-kaspersky-siem\/40637\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/dll-hijacking-in-kaspersky-siem\/13884\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dll-hijacking-in-kaspersky-siem\/54534\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/dll-hijacking-in-kaspersky-siem\/23281\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dll-hijacking-in-kaspersky-siem\/32802\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dll-hijacking-in-kaspersky-siem\/29807\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dll-hijacking-in-kaspersky-siem\/35536\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dll-hijacking-in-kaspersky-siem\/35160\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/siem\/","name":"siem"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31527"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31527\/revisions"}],"predecessor-version":[{"id":31533,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31527\/revisions\/31533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31529"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}