El surcoreano Hyeongkwan Lee aka WindShock analizaba recientemente en un post cómo, entre 2020 y 2025, las técnicas de evasión de EDR y antivirus han evolucionado de manera significativa.
Antes los atacantes se concentraban principalmente en ofuscar malware o modificar firmas, mientras que en la actualidad buscan explotar debilidades inherentes a los propios productos de seguridad o al sistema operativo. El objetivo ya no es simplemente pasar desapercibido, sino desactivar o manipular los agentes de protección desde dentro del sistema, aprovechando procesos legítimos, drivers firmados y herramientas administrativas que normalmente se consideran confiables.
1. Abuso de instaladores legítimos (BYOI)
WindShock explica que una de las técnicas más efectivas recientes es lo que se denomina Bring Your Own Installer (BYOI). Esta técnica consiste en aprovechar instaladores o actualizadores oficiales de EDR/AV para detener temporalmente el servicio de seguridad durante el proceso de instalación o actualización. La interrupción estratégica permite que el malware o las acciones maliciosas se ejecuten sin ser detectadas. Un ejemplo documentado involucra a afiliados de Babuk Ransomware, quienes manipularon el instalador de SentinelOne para detener su protección y cifrar los sistemas de las víctimas sin disparar alertas. Este enfoque demuestra que incluso los mecanismos diseñados para reforzar la seguridad pueden convertirse en vectores de ataque si no cuentan con controles de autenticación y validación robustos.
2. Uso de drivers vulnerables (BYOVD)
Otra técnica crítica descrita por WindShock es el Bring Your Own Vulnerable Driver (BYOVD). Los atacantes cargan drivers legítimos pero con vulnerabilidades conocidas, logrando ejecución en modo kernel. Esto permite terminar procesos de seguridad, deshabilitar funciones de monitorización y evadir prácticamente cualquier defensa a nivel de usuario. A diferencia de técnicas de explotación clásicas, BYOVD utiliza drivers confiables firmados digitalmente, lo que dificulta su detección y permite ataques sofisticados con mínima intervención del usuario. Según el artículo, ransomware moderno ha adoptado esta técnica como estándar, evidenciando que la “profundidad” del acceso al sistema operativo es clave para neutralizar EDR avanzados.
3. DLL Hijacking y Side-Loading
También se comenta cómo los atacantes explotan rutas de carga de DLL y binarios confiables mediante técnicas de DLL Hijacking y Side-Loading. Al colocar DLL maliciosas en ubicaciones que los procesos legítimos cargan automáticamente, el malware se ejecuta dentro de procesos de seguridad confiables. Un caso concreto es el del grupo ToddyCat, que aprovechó cómo ESET cargaba version.dll para inyectar código malicioso dentro del propio escáner antivirus. Esta técnica es particularmente efectiva porque ejecuta código en un contexto legítimo, evadiendo firmas tradicionales y evitando alertas de comportamiento anómalo. En muchos escenarios, es prácticamente imposible que la protección detecte la amenaza hasta que ya se ha ejecutado completamente.
4. Abuso de servicios y modos del sistema
Finalmente, el autor subraya que los atacantes también recurren a funciones del sistema operativo para desactivar o evadir agentes de seguridad. Un ejemplo clásico es el uso de Safe Mode, donde muchos EDR no se cargan, permitiendo que malware o atacantes realicen modificaciones sin ser detectados. Asimismo, comandos administrativos como sc stop, net stop o la modificación de entradas de registro pueden desactivar servicios críticos si no hay protección anti-manipulación. Estas técnicas muestran que los atacantes no dependen únicamente de exploits sofisticados: a menudo reutilizan herramientas legítimas del sistema operativo, aplicando un enfoque de “living off the land” que dificulta enormemente la detección.
Conclusiones técnicas
En definitiva, se concluye que no existe un EDR invulnerable. Las técnicas modernas de evasión combinan la explotación de debilidades del producto con configuraciones incorrectas del sistema, lo que permite ataques silenciosos y efectivos. Muchas de estas tácticas reutilizan funcionalidades legítimas, desde instaladores hasta drivers firmados y servicios administrativos, lo que hace que la detección basada en firmas sea insuficiente. La mitigación efectiva requiere un enfoque integral: monitorización de comportamiento, control estricto de drivers, listas de bloqueo de técnicas conocidas y configuraciones anti-manipulación robustas.
El siguiente video muestra ejemplos prácticos de BYOI y BYOVD, incluyendo manipulación de drivers y procesos de seguridad:
Recomendaciones para defensores
Entre las recomendaciones de WindShock destacan la habilitación de protección anti-manipulación en actualizaciones de software, el monitoreo de anomalías en procesos administrativos y del sistema, la implementación de blocklists y alertas de comportamiento para drivers y side-loading, así como la planificación de respuesta a incidentes bajo la suposición de que el EDR podría estar neutralizado. En conjunto, estas medidas aumentan significativamente la resiliencia de los endpoints frente a amenazas avanzadas y técnicas de evasión emergentes.
Comentarios
Publicar un comentario