Module Stomping: a técnica que esconde payloads dentro de DLLs legítimas

O Module Stomping não é só mais uma técnica de injeção: é um ataque que explora a confiança implícita do sistema Windows em módulos assinados. Ao sobrescrever a seção .text de uma DLL legítima já carregada, como kernelbase.dll ou user32.dll , , o atacante transforma um componente confiável em um contêiner de shellcode executável. Isso evita alocações de memória não mapeadas (flagradas por EDRs) e escapa da análise estática de IATs, pois o código malicioso roda dentro do contexto de um módulo válido, com todas as suas permissões e assinaturas intactas.

O risco real está na detecção frágil: ferramentas como PE-Sieve identificam o ataque comparando os bytes em memória com o arquivo em disco, mas variações avançadas, como o 'Advanced Module Stomping', restauram o conteúdo original após a execução, eliminando esse IoC. Isso torna a detecção dependente de análise comportamental fina, como anomalias em call stacks do kernel ou desvios sutis no uso de PEB-walking para resolução de APIs, algo que só plataformas como Elastic Security 8.8 (maio/2023) e novos drivers de EDR começam a cobrir com precisão.

Em comparação com o EntryPoint Hijacking (14/05/2026), o Module Stomping representa uma mudança tática significativa: não manipula apenas o ponto de entrada, mas substitui toda a seção executável de uma DLL carregada, mantendo o módulo ativo e assinado durante a execução. Enquanto o EntryPoint Hijacking depende de criação de threads legítimas para acionar o código, o Module Stomping usa CreateThread diretamente, mas disfarçado como parte do fluxo normal de uma DLL confiável. Além disso, ao contrário do sideloading explorado pelo Seedworm (30/05/2026), que exige carregar DLLs externas via binários legítimos, o Module Stomping opera inteiramente em memória, sem gravação em disco, reduzindo drasticamente os rastros forenses.

Empresas com EDRs maduros ainda estão vulneráveis porque muitas soluções não verificam divergências entre módulos em memória e seus arquivos originais em tempo real, e menos ainda monitoram chamadas a NtMapViewOfSection como alternativa a WriteProcessMemory. Isso permite que ataques como o Module Stomping passem despercebidos mesmo em ambientes com telemetria comportamental ativa. Para equipes de resposta, isso significa que a detecção precisa ir além de eventos de thread: exige correlação entre PEB-walking, alterações em seções de memória protegidas e análise de assinatura digital em runtime, recursos ainda raros em produtos comerciais de médio porte.