Evasión de EDR: Riesgos y Técnicas entre 2020 y 2025
Publicado el
Evolución de las Técnicas de Evasión de EDR (2020–2025)
El estudio realizado por Hyeongkwan Lee, conocido como WindShock, revela cómo las técnicas de evasión de sistemas de detección y respuesta en endpoints (EDR) han experimentado una transformación significativa entre 2020 y 2025. Antes, los atacantes se centraban en la ofuscación del malware y la modificación de firmas. Actualmente, el enfoque ha cambiado hacia la explotación de vulnerabilidades inherentes en los propios sistemas de seguridad y en los sistemas operativos.
Estrategias Modernas de Evasión
1. Abuso de Instaladores Legítimos (BYOI) La técnica conocida como Bring Your Own Installer (BYOI) se ha convertido en una de las más efectivas. Consiste en utilizar instaladores o actualizadores oficiales de EDR o antivirus para interrumpir temporalmente el servicio de seguridad durante su instalación o actualización. Esto permite que el malware se ejecute sin ser detectado. Un caso relevante es el de los afiliados de Babuk Ransomware, quienes manipularon el instalador de SentinelOne para desactivar su protección y cifrar sistemas sin levantar alertas.
2. Uso de Drivers Vulnerables (BYOVD) Otra técnica crítica es el Bring Your Own Vulnerable Driver (BYOVD). Los atacantes cargan drivers legítimos con vulnerabilidades conocidas, lo que les permite ejecutar acciones en modo kernel y desactivar funciones de monitorización. Esta técnica se ha convertido en un estándar en el ransomware moderno, evidenciando la importancia del acceso profundo al sistema operativo para eludir EDR avanzados.
3. DLL Hijacking y Side-Loading WindShock también menciona el uso de DLL Hijacking y Side-Loading. Los atacantes logran ejecutar código malicioso dentro de procesos confiables al colocar DLL maliciosas en rutas de carga automáticas. Un ejemplo notable es el grupo ToddyCat, que inyectó código malicioso en el escáner de ESET a través de la carga de `version.dll`. Esta técnica es efectiva porque permite que el malware se ejecute en un contexto legítimo, evadiendo detecciones basadas en firmas.
4. Abuso de Servicios del Sistema Los atacantes también utilizan funciones del sistema operativo para evadir la detección. Por ejemplo, el Safe Mode permite modificar sistemas sin que muchos EDR se carguen. Comandos administrativos como `sc stop` o `net stop`, junto con la manipulación de entradas de registro, pueden desactivar servicios críticos si no hay protecciones adecuadas.
Conclusiones sobre la Evasión de EDR
Se concluye que no existe un EDR invulnerable. Las técnicas modernas de evasión combinan la explotación de debilidades de producto con configuraciones incorrectas del sistema, lo que permite realizar ataques silenciosos y eficaces. Muchas de estas tácticas reutilizan funcionalidades legítimas, lo que dificulta la detección basada en firmas.
Para una mitigación efectiva, es crucial un enfoque integral que incluya la monitorización del comportamiento, el control estricto de drivers, listas de bloqueo de técnicas conocidas y configuraciones de anti-manipulación robustas. La evolución de estas técnicas exige una adaptación constante en las defensas para contrarrestar las innovaciones de los atacantes.