La técnica RunPE, también conocida como RunPortableExecutable, es una técnica basada en Windows que se utiliza para reemplazar la funcionalidad de un binario legítimo de Windows con código malicioso. Es ampliamente utilizado por actores maliciosos para evadir la detección y mantener sus actividades maliciosas fuera del radar.
La técnica RunPE funciona cargando el programa malicioso en la memoria y luego usa el PEB (una estructura de datos de memoria utilizada por Windows) para modificar el programa original. Generalmente se utiliza para inyectar código malicioso para reemplazar el contenido original del programa, así como para ejecutar la carga útil incluida en el código malicioso. Para evadir aún más la detección, el código malicioso suele disfrazarse de un binario legítimo de Windows, como una biblioteca ejecutable o dinámica.
La combinación de velocidad y sigilo de la técnica RunPE la convierte en una técnica común empleada por actores maliciosos. Se ha empleado en muchas campañas maliciosas como Zeus y ransomware. También se utiliza para propagar paquetes ejecutables maliciosos, correos electrónicos maliciosos y otros objetos maliciosos. Además, también se utiliza en muchas otras formas de software malicioso, como registradores de pulsaciones, descargadores y ladrones de información.
Como resultado de su efectividad y utilidad, la técnica RunPE a menudo se considera un desafío de seguridad para las soluciones antivirus convencionales e incluso a pesar de las medidas correctivas, algunas firmas, así como la prevención de exploits, algunos actores maliciosos han podido pasar desapercibidos.
