En la era en que Windows lucha por impedir que quienes «solo quieren ver qué hay dentro», surgen cada vez más herramientas dispuestas a burlar los mecanismos de protección integrados. Una de ellas es FullBypass, desarrollada por el entusiasta conocido como Sh3lldon. Esta herramienta es una pequeña obra maestra para quienes trabajan (o trastean) con PowerShell en modo restringido.
¿Qué hace FullBypass y para qué sirve?
Al grano: Windows, en entornos corporativos y protegidos, activa AMSI (Antimalware Scan Interface) y pone PowerShell en Constrained Language Mode (CLM), para que nadie haga cosas peligrosas — como cargar DLL, usar reflexión o ejecutar archivos PE desde la memoria.
FullBypass fue creado precisamente para eludir esas restricciones. Permite obtener una sesión reversa de PowerShell en Full Language Mode — es decir, sin censura, sin filtros y sin toda esa «moral» digital de Microsoft. Lo principal es no usarlo en equipos ajenos sin permiso. O al menos no dejar rastro.
¿Cómo funciona el bypass exactamente?
La herramienta está escrita en C# y usa .NET para eludir:
- AMSI se parchea en memoria: la función AmsiScanBuffer se sustituye, y todo lo que PowerShell envía para comprobación se ignora.
- CLM se restablece: al arrancar se crea una nueva sesión de PowerShell sin la restricción de lenguaje. Esto significa que puedes hacer casi cualquier cosa que quieras.
Sí, si suena sospechosamente sencillo — lo es. La genialidad está en la simplicidad.
¿Cómo se ejecuta (y para qué MSBuild)?
El autor propuso un punto de entrada interesante — MSBuild. La herramienta se distribuye como un archivo de proyecto FullBypass.csproj, que se puede pasar al compilador directamente en la máquina objetivo. Aquí un ejemplo de comando:
C:WindowsMicrosoft.NETFramework64v4.0.30319msbuild.exe .FullBypass.csproj
Se puede colocar el archivo en C:WindowsTemp o C:WindowsTasks, donde rara vez se mira. Luego — indicar la IP y el puerto para la conexión y... recibir la sesión reversa de PowerShell con acceso completo. Simple y con estilo.
Escenarios de uso (o cómo NO usar FullBypass)
En general, la herramienta se presenta con fines didácticos y para pruebas de penetración. Es decir:
- Sí — usar en entornos de prueba y laboratorios.
- Sí — demostrar a clientes las vulnerabilidades.
- No — intentar hackear el Windows del jefe por deporte.
Hablando en serio, es una forma potente de mostrar que ni CLM ni AMSI garantizan seguridad completa. Especialmente si en la organización no hay EDR/AV que rastree llamadas a MSBuild o inyecciones en memoria.
¿Es difícil de detectar?
Sí y no. Si el sistema tiene un antivirus avanzado, puede detectar la sustitución de funciones de AMSI — especialmente si se aplica un parche «básico» mediante XOR (como hace FullBypass). Pero en muchas máquinas sigue sin haber buena protección, y algunos EDR pasan por alto técnicas antiguas o no consideran MSBuild una amenaza.
Así que en condiciones reales puede funcionar a la primera — sobre todo si se sabe de antemano qué hay en la máquina y cuáles son las reglas de monitorización.
¿Qué hay dentro?
El proyecto es completamente open source y está en GitHub en: https://github.com/Sh3lldon/FullBypass. En el repositorio hay solo unos pocos archivos; el principal es FullBypass.csproj, y el código está en el propio proyecto. Todo lógico, claro e incluso elegante.
El método principal reemplaza el puntero de la función AmsiScanBuffer en memoria usando una instrucción XOR. Es una técnica antigua pero fiable. Después se inicia PowerShell cargando la carga útil a través del enlace inverso especificado.
Sobre el desarrollador
Sh3lldon (también conocido como Magzhan Tursunkul) es un especialista en seguridad con varias certificaciones: OSED, OSEP, CRTO, CRTE y CRTM. En GitHub publica no solo FullBypass, sino otras cosas útiles: escáneres, exploits y parches para eludir sistemas de seguridad.
Es uno de esos casos en que se nota que el autor sabe lo que hace — y lo hace bien.
Conclusiones: ¿para quién es y para qué?
FullBypass es un excelente ejemplo de cómo se pueden eludir las protecciones estándar de Windows usando las propias herramientas de Windows. Ideal para:
- Pruebas de penetración.
- Demostraciones a clientes.
- Estudio del funcionamiento interno de AMSI y CLM.
Pero no hay que olvidar: esto no es un juguete, y debe usarse con precaución. O al menos con guantes.
