Inyectores de DLL de terceros, desvíos de código y enganche

Artículos técnicos ID: KB88085
Última modificación: 27/09/2021

Entorno

Prevención de amenazas McAfee Endpoint Security (ENS) 10.x
McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 5.x

Resumen

Las aplicaciones de software que se ejecutan en Microsoft Windows entornos pueden inyectar código en un proceso que no es propio. Aunque este comportamiento es similar al de malware, también es un mecanismo integrado para Microsoft Windows. Este mecanismo permite a los desarrolladores de software proporcionar una experiencia informática más rica para el usuario.

McAfee Enterprise ha encontrado numerosas aplicaciones de software con razones legítimas para cargar dll en McAfee procesos empresariales. Aunque McAfee Enterprise intenta bloquear esos intentos de carga de DLL, las limitaciones técnicas permiten que las inyecciones se realicen con éxito a veces. A continuación, se necesita una respuesta alternativa de McAfee Enterprise para que ENS pueda seguir funcionando con normalidad. Esta situación condujo a la utilidad MfeSysPrep.exe. Lo MfeSysPrep.exe está disponible a través de Soporte técnico y se puede utilizar como herramienta de descubrimiento de inyectores de DLL. Esta utilidad se recomienda para cualquier entorno que experimente síntomas causados por la presencia de dll de terceros en McAfee procesos empresariales. También incluye las dll de terceros descritas en la Solucionar instrucciones a continuación.

Experiencia
McAfee software empresarial considera las dll de terceros que han sido insertadas en McAfee procesos empresariales que no son de confianza. En otras palabras:

No hemos escrito su código.
No sabemos lo que hace su código o lo que puede hacer.
No sabemos si nunca se ha puesto en riesgo y se utiliza de forma maliciosa.

Lo que sabemos es que cualquier trabajo realizado en las funciones DLL de ese tercero parece proceder del proceso de inserción de McAfee Enterprise. Por lo tanto, si se trata de una actividad maliciosa, parece que el software de McAfee Enterprise realiza operaciones maliciosas. Permitir la inserción de DLL de terceros en McAfee procesos empresariales no es aceptable. Hemos tomado medidas mediante nuestra tecnología de protección de acceso (AP), también conocida como control de acceso arbitrario, para proteger frente a las inyecciones de DLL de terceros. También hemos implementado una estructura de validación y protección de confianza (VTP). Este marco de trabajo protege frente a los escenarios en los que podría haberse producido una inyección.

El marco de la validación y la protección de confianza se introdujo con VSE 8.7tengo. La función protección de acceso se introdujo con VSE 8.0tengo. La tecnología subyacente se ha actualizado en VSE 8.8 Parche 5 (o parche 4 + Hotfix 929019). La nueva tecnología se llama control de acceso arbitrario (AAC). Otros productos McAfee Enterprise han realizado transiciones tecnológicas similares para adoptar esta tecnología compartida, necesaria para proteger los productos contra entidades malware y no fiables.

Cómo usamos la protección de confianza y la validación:
El McAfee servicio de protección de confianza y validación empresarial MFEVTPS.exe, es un servicio crítico que realiza inspecciones de archivos dll y procesos en ejecución, incluidos McAfee procesos empresariales, que interactúan con McAfee código de empresa, para verificar que dichos objetos son de confianza. El servicio depende del Microsoft servicio criptográfico (CryptSvc), de las API relacionadas con la confianza y del estado del almacén de certificados y de los archivos de catálogo. Si esas dependencias se encuentran en mal estado, es posible que nuestro servicio no funcione correctamente.

Para obtener más información sobre la firma de archivos, consulte https://msdn.microsoft.com/en-us/windows/hardware/drivers/install/digital-signatures:

Se realiza una comprobación de validación cuando McAfee código de empresa necesita asegurarse de que el proceso o el objeto activo son de confianza, o ambos.
Al inicializar McAfee procesos empresariales, el servicio VTP se utiliza para validar que estamos cargando código de confianza. Usamos AP/AAC para asegurarse de cargar solo las dll de confianza.

Tal y como se ha indicado anteriormente, solo McAfee código de empresa y el código de Microsoft son de confianza de forma implícita.

AppFabric

The MFEVTPS.exe almacena en caché los resultados de una comprobación de validación para mejorar el rendimiento de futuras comprobaciones de validación.
La caché siempre se examina en primer lugar al realizar una comprobación de validación.
Si una comprobación de validación devuelve "no de confianza", el objeto se almacena en caché como no de confianza. Si un objeto se ha almacenado en caché incorrectamente como no de confianza, solo se podrá corregir el restablecimiento de la caché.

La caché solo se restablece cuando se arranca en modo seguro, pero no en modo seguro con funciones de red o mediante la ejecución del comando VTPInfo.exe /ResetVTPCache. McAfee empresa también puede restablecer la caché a través del archivo DAT cuando sea necesario. Inmediatamente después del restablecimiento de la caché, es posible que un usuario experimente un breve periodo de rendimiento lento.

Errores de confianza
Un error de confianza ve una comprobación de validación que provoca el "no confianza" cuando el resultado esperado era "de confianza".

Acerca

Una tercera parte ha insertado un proceso McAfee Enterprise. No confiamos en la tercera parte, por lo que el proceso falla una comprobación de validación.
Un archivo firmado del catálogo de Microsoft tiene información de firma no válida. Por lo tanto, no se puede verificar y un proceso de McAfee empresarial no lo carga.
Un archivo DLL válido se ha almacenado en caché incorrectamente como "no de confianza" y se han denegado los intentos subsiguientes de cargarlo.

Todos estos ejemplos pueden provocar que el proceso de McAfee Enterprise afectado falle, como no cargar adecuadamente o no realizar sus tareas previstas adecuadamente. Estos errores se producen debido a nuestro propio mecanismo de seguridad (AAC), denegando el acceso a código no fiable.

Cómo usamos la protección de acceso o el control de acceso arbitrario:
El control de acceso arbitrario ha sustituido a la protección de acceso. Esta tecnología opera de la kernel Windows. Puede bloquear el acceso a los objetos, tales como la red, el archivo, el registro y los objetos de proceso. La función cuenta con un conjunto de reglas para determinar lo que se debe bloquear y lo que se debe permitir. Las reglas describen comportamientos "defectuosos" o "inseguros" que deben bloquearse o denegarse. Muchas de las reglas están bajo su control, expuestas en la interfaz de usuario o en las directivas de ePolicy Orchestrator (ePO). Algunas reglas que aún no se exponen siguen en vigor, consideramos que las reglas son críticas para el estado operativo del producto. Las reglas que exponemos para usted pueden ser:

Activado o desactivado.
Se establece en solo informar.
Se ha modificado para agregar otros procesos con los que proteger o proteger, o para excluir, de modo que ya no se impide que un proceso determinado infrinja la regla.
Puede crear sus propias reglas de bloqueo de comportamiento, de forma que esta función una de las herramientas más potentes a su disposición para proteger su entorno.

Para resumir el funcionamiento de AAC, verá una operación que se está intentando llevar a cabo, pasos en y pregunta lo siguiente:

¿Cuál es el nombre del proceso?
¿Qué objeto está accediendo al proceso?
¿Qué proceso está intentando hacer con ese objeto?
¿Se permite esta operación, sí o no?

Una respuesta de "no" significa que lo bloqueamos. Si "informe" está activado, lo registramos y enviamos un evento al servidor de ePO. La respuesta "sí" significa que la acción está permitida.

Nuestras reglas privadas incluyen más criterios, como:

¿Quién escribió este código? La obtención de esta información implica la observación de la firma digital.
¿Confiamos en el certificado digital de ese proveedor? De forma predeterminada, solo confiamos en McAfee Enterprise y Microsoft.

Los criterios agregados proporcionan más seguridad. Por el contrario, como se ha explicado anteriormente, si una comprobación de validación falla o produce un resultado "no fiable", nuestras propias protecciones podrían bloquear el acceso de los objetos de McAfee Enterprise. Como se indica en la Experiencia afirmación anterior, se espera el resultado.

Problema 1

Se está bloqueando un proceso de terceros para que no acceda a McAfee archivos o procesos protegidos por la empresa. El proceso de terceros recibe el código de error 5, que significa ACCESS_DENIED. Este comportamiento es el esperado y no es un problema con el software McAfee Enterprise.
Se ha bloqueado un proceso de terceros que carga McAfee dll de la empresa para acceder a otros McAfee procesos, archivos o carpetas empresariales. Por ejemplo, Microsoft Outlook, que carga los archivos dll de enlace de modo usuario de prevención de exploits de ENS, se bloquea al intentar acceder a otros procesos de McAfee Enterprise.

Problema 2

Un proceso de McAfee Enterprise no se inicia correctamente. Por ejemplo, no puede iniciar la consola de ENS a pesar de los registros de instalación que indican que se ha realizado correctamente.
Se está ejecutando un McAfee proceso empresarial, pero solo es parcialmente operativo. Por ejemplo, ENS se carga correctamente, pero indica que otros servicios no se están ejecutando correctamente, pero el servicio aplicable se está ejecutando.
Se produce un error en la instalación de un producto de McAfee Enterprise y se intenta revertir, lo que también podría provocar errores y dejar restos de intentos de instalación fallidos.
Se impide que un proceso empresarial de McAfee acceda a otros archivos o carpetas que pertenecen a otro producto de McAfee Enterprise. Por ejemplo, McScript_InUse.exe que pertenece a la McAfee Agent, tiene bloqueado el acceso a las carpetas de ENS.

Motivo

En un nivel alto, la causa es la siguiente:

Los procesos cargan dll, que contienen código que se ejecuta. Todo este trabajo lo realiza el proceso mediante el uso de subprocesos. Un archivo DLL de terceros es aquel que no está generado a través de un proveedor, que en este caso es McAfee Enterprise o Microsoft. Cuando un proceso de McAfee Enterprise carga una DLL de terceros, ese proceso se ha "inyectado" por dicha DLL de terceros, lo que significa que ahora contiene funciones de terceros y que puede ejecutar el código de terceros. El resultado es que el proceso de McAfee Enterprise ahora puede realizar operaciones que no se pretenden hacer nunca. Además, no es consciente de lo que podrían ser las acciones, ya que no es McAfee código de empresa. No obstante, el código de terceros está activo y reside en el McAfee proceso de la empresa.

SEÑALAR Muchos proveedores de aplicaciones de terceros escriben software legítimo que aplica la inyección de DLL como medio para facilitar la función de sus productos. Existen muchos ejemplos, pero estos nombres son de algunos proveedores cuyas aplicaciones suelen encontrarse en el espacio de la empresa: Citrix, Avecto, lúmenes, más allá de la confianza y NVIDIA.

Solución 1

ENS tiene un proceso denominado MFECanary.exe que se ejecuta como un proceso secundario para MFEEsp.exey captura los detalles de un certificado digital para cualquier DLL que intente inyectarse en él. La información se envía a ePO a través de un evento de agente, que se procesa en el servidor de ePO. A continuación, se rellena con la Directiva de Ajustes generales de Endpoint Security.

Cuando ve que los certificados se rellenan en la Directiva Endpoint Security Ajustes generales, es una indicación de que el software de terceros que no es de confianza existe en el entorno. Este software es indiza intentando cargar dll en McAfee procesos empresariales. Si se realizan correctamente, su presencia dentro de McAfee procesos empresariales conduce a la Solucionar instrucciones descritas anteriormente.

En la Directiva de Endpoint Security Ajustes generales, una casilla de verificación permite al administrador controlar si los sistemas cliente confían o no confían en el certificado de terceros. La misma directiva permite agregar manualmente certificados para que sean de confianza mediante el certificado exportado (.cer) de la DLL de inserción.

En los sistemas con VSE, no existe ningún método automatizado para confiar en una DLL de inserción. Pero, a partir de la publicación de VSE 8.8 Parche 9, la Directiva protección de acceso para VSE contiene una ficha exclusiones globales para la autoprotección. En esta ficha, puede excluir McAfee procesos empresariales que se vean afectados por una inyección de DLL de terceros. Para tener más control sobre las aplicaciones que insertan en McAfee procesos empresariales, los clientes se han instado a migrar a ENS.

Solución 2

Asistencia Soporte técnico:
Soporte técnico también pueden ayudar a identificar el tercero y, posteriormente, confiar en un certificado digital de terceros de dll de terceros con firma insertado en McAfee procesos empresariales. Esta compatibilidad requiere que se abra una solicitud de servicio. Para agilizar el procesamiento, en este artículo se proporcionan los pasos para conseguir estas tareas.

Contenido
Haga clic para expandir la sección que desee ver:

Opción 1: identificar el método más fácil de terceros

Hay una utilidad disponible en Soporte técnico denominada MfeSysPrep.exe. Puede ejecutar MfeSysPrep.exe independiente en cualquier sistema de destino para el descubrimiento de inyectores de DLL, se distribuye a través de herramientas de terceros o se ha desplegado a través de ePO. La herramienta escribe un archivo de registro de forma local y envía eventos de ePO a los archivos dll no de confianza identificados que podrían afectar a las funciones de ENS.

Por cada inyector identificado y su correspondiente certificado digital, si McAfee empresa ha considerado que un certificado específico es de confianza, la herramienta actualiza automáticamente ENS para que confíe en el certificado. Si la herramienta no descubre ningún dll pendiente que no sea de confianza, no es necesario realizar ninguna otra acción. Véase la Información relacionada sección de este artículo para conocer las implicaciones de confiar en un certificado de terceros.

Por cada no de confianza y firmado DLL que se identificó, la información del certificado se captura en el registro y se proporciona a ePO en un evento. El ID de evento es 1092 o 1095. Por cada no de confianza y sin firmar DLL que se identificó, se registra un hash SHA-1 y SHA-2 para ese archivo DLL en el registro y se proporciona a ePO en un evento. De nuevo, el ID de evento es 1092 o 1095.

El ID de evento 1092 indica que se ha encontrado un inyector y no se ha podido confiar en él.
El ID de evento 1095 indica que se ha encontrado un inyector y lo confiamos automáticamente.

Opción 2: identificar el método duro de terceros

Es posible que esta identificación sea la más difícil de realizar en todo el proceso. El motivo es que el método para recopilar esta información depende de si se están experimentando síntomas que afectan al comportamiento del producto. Consulte las secciones siguientes sobre la recopilación de datos cuando hay "síntomas negativos" y cuando existen "síntomas adversos".

Sin síntomas adversos:
1. Utilizando Proceso Explorer, disponible en Microsoft.
2. Ejecute la herramienta como administrador.
3. Seleccione el proceso de la empresa McAfee que contiene la DLL de terceros.
4. Utilice la vista de DLL, o pulse CTRL + D, e identifique el archivo DLL de terceros y anote su ubicación en el disco. Si hay varias ubicaciones, Anote todas.
5. Utilizando Windows Explorer para localizar esa DLL en el disco y acceder a su Propiedades.
6. Ve Obtención del archivo. cer continuación.
Síntomas adversos:
- Cuando se producen los síntomas adversos durante una sesión de Windows, hay dos puntos de datos que se pueden recopilar. Idealmente, estos puntos de datos se deben recopilar en paralelo, es decir, ejecutar ambas herramientas al mismo tiempo y capturar el problema una vez.
  1. Recopilar datos del monitor de procesos:
    1. Utilizando Monitor de procesos, disponible en Microsoft.
    2. Ejecute la herramienta como administrador.
    3. Inicie el proceso de McAfee Enterprise que se comporta de forma inesperada.
    4. Una vez que haya reproducido el comportamiento anómalo, guarde el Procmon Recupera.
      
      ASPECTO Guarde todos los eventos y utilice el formato nativo de PML.
    5. Proporcione esta información a Soporte técnico para ayudar a identificar la DLL de terceros que se va a cargar a través del proceso de McAfee Enterprise.
  2. Recaba AMTrace datos
    1. Ejecutándose AMTrace.exe desde un símbolo del sistema de administrador, proporciona la opción de iniciar inmediatamente. Para obtener instrucciones, consulte: KB86691: pasos de recopilación de datos mínimos para problemas de Endpoint Security.
    2. Inicie el proceso de McAfee Enterprise que se comporta de forma inesperada.
    3. Una vez que haya reproducido el comportamiento anómalo, ejecute AMTrace de nuevo, ahora le ofrece la opción de detener.
    4. Proporcione el registro creado para Soporte técnico. que sirve como ayuda para identificar la DLL que no es de confianza.
- Cuando los síntomas adversos solo se producen en Windows arranque/inicio, hay dos puntos de datos que se pueden recopilar, que se puede recopilar en serie o en paralelo:
  1. Recopilar datos del monitor de procesos:
    1. Utilizando Monitor de procesos, disponible en Microsoft.
    2. Ejecute la herramienta como administrador.
    3. En el menú opciones, haga clic en activar. Registro de arranque.
    4. Restablezca la caché de VTP *.
    5. Reinicie el sistema.
    6. Iniciar sesión y ejecutar Monitor de procesos vuelve.
    7. Guardar la Procmon captura de registro de arranque.
      
      ASPECTO Guarde todos los eventos y utilice el formato nativo de PML.
    8. Proporcione esta información a Soporte técnico para ayudar a identificar la DLL de terceros que se va a cargar a través del proceso de McAfee Enterprise.
  2. Recaba AMTrace datos.
    1. Ejecutándose AMTrace.exe desde un símbolo del sistema de administrador, proporciona la opción de iniciar al arrancar. Para obtener instrucciones, consulte: KB86691: pasos de recopilación de datos mínimos para problemas de Endpoint Security.
    2. Restablezca la caché de VTP *.
    3. Reinicie el sistema.
    4. Una vez que haya reproducido el comportamiento anómalo, ejecute AMTrace de nuevo, ahora le ofrece la opción de detener.
    5. Proporcione el registro creado para Soporte técnico. El archivo de registro ayuda a identificar la DLL que no es de confianza.

* Para restablecer la caché de VTP:

Desde un símbolo del sistema de administrador, vaya a \Program Files\Common Files\McAfee\SystemCore.
Ejecute la VTPInfo.exe utilidad con el parámetro /resetvtpcache:

VTPInfo.exe /ResetVTPCache

Obtener el .cer File
Este procedimiento solo es necesario si ha realizado la opción 2 para identificar las DLL que no son de confianza de terceros. Obtención de la .cer el archivo no es necesario si se ha utilizado la opción 1.

Para acceder a las propiedades del archivo EXE o DLL, haga clic con el botón derecho del ratón y seleccione Propiedades.
Haga clic en la Certificados digitales pestaña.

SEÑALAR Si falta esta ficha, el archivo no está firmado digitalmente y no se puede confiar en el código de este proveedor. Debe ponerse en contacto con ese proveedor y solicitarle que proporcione código firmado.

Seleccione un certificado de la lista de firmas en la que desea confiar.
Pulsar Pormenor.
Pulsar Ver certificado.
Haga clic en la Pormenor pestaña.
Pulsar Copiar en archivo.
En el Asistente de exportación de certificados, haga clic en Lado.
Pulsar Lado de nuevo para aceptar la creación de un .cer File.
Especifique un nombre de archivo y una ubicación. Por ejemplo, C:\Temp\My3rdParty.cer.
Pulsar Lado así Finish.

Confiar en un certificado digital de terceros

Si ha utilizado la opción 1 anterior y no se han encontrado dll adicionales que no sean de confianza, no es necesario realizar ninguna otra acción.

Las no de confianza y firmado Dll, esperamos que el certificado digital para esa DLL aparezca en la Directiva Ajustes generales de Endpoint Security. En este caso, consulte Solución 1.
Utilice la Directiva opciones de Ajustes generales de Endpoint Security para confiar manualmente en el certificado si

El certificado no ha aparecido en esa Directiva.
O
Desea mover el proceso en una forma más predecible, después de obtener la (.cer) File.

ASPECTO Antes de hacerlo, consulte la Información relacionada sección de este artículo para conocer las implicaciones de confiar en un certificado de terceros.

Las no de confianza y sin firmar Dll, esperamos que el proveedor de ese software le proporcione código firmado digitalmente, ya que es un estándar del sector para identificar el software publicado. En los casos en los que los proveedores no pueden cumplirlo, Soporte técnico puede ayudarle. Debe proporcionar cualquier dll sin firmar que MfeSysPrep.exe se identifican como inyectores y el MfeSysPrep registro que muestra la inyección. Con esta información, McAfee empresa considerará la posibilidad de agregar la DLL sin firmar en la MfeSysPrep utilidad para ayudarle a solucionar tales problemas como fallos en las instalaciones de ENS debido a la presencia de la aplicación de terceros. No incluye aplicaciones como software antivirus que sirvan la misma función que ENS.

ASPECTO Para poder agregar confianza a un archivo DLL de terceros, debe enviar el archivo DLL a McAfee Labs como muestra para confirmar que no es malicioso. Para obtener instrucciones, consulte: KB85567-enviar posibles falsos positivos del producto o a través de GTI a McAfee Labs. Incluya la siguiente información cuando envíe estas muestras de DLL:

Fabricante de software
Proceso o ejecutable principal
¿Esta aplicación es interna o está disponible de forma pública?
Breve descripción de la función y el propósito del software, incluido el archivo DLL enviado

Información relacionada

Implicaciones de seguridad de confiar en un certificado digital de terceros:

Existen implicaciones de seguridad que se aceptan mediante la confianza de un certificado de terceros:

Usted acepta que cualquier código firmado por el certificado de terceros será de confianza para interactuar con McAfee procesos empresariales, archivos, registro y todos los demás McAfee objetos protegidos por la empresa.
Puede aceptar que la actividad de archivo generada por los procesos firmados con el certificado de terceros no se pueda analizar.
Usted entiende que cualquier producto o versión de código del mismo proveedor, si utiliza el mismo certificado digital, hereda automáticamente los mismos subsidios.
Usted entiende que cualquier producto o código del mismo proveedor, utilizando un certificado digital distinto, también debe ser de confianza para obtener los mismos resultados.

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Productos implicados

Configuration
Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
McAfee Agent 5.7.x
McAfee Agent 5.6.x
VirusScan Enterprise 8.8 (EOL)

Idiomas:

Este artículo se encuentra disponible en los siguientes idiomas:

English United States
Spanish Spain
French
Italian
Japanese
Portuguese Brasileiro
Chinese Simplified

Knowledge Center

Inyectores de DLL de terceros, desvíos de código y enganche

Entorno

Resumen

Problema 1

Problema 2

Motivo

Solución 1

Solución 2

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Title

Title

Knowledge Center

Inyectores de DLL de terceros, desvíos de código y enganche

Entorno

Resumen

Problema 1

Problema 2

Motivo

Solución 1

Solución 2

Información relacionada

Descargo de responsabilidad

Productos implicados

Idiomas:

Elija su región

Title

Title