Los últimos cinco años convirtieron el término «endpoint detection and response» en un componente obligatorio de casi cualquier infraestructura corporativa. Un agente en el puesto de trabajo observa llamadas al sistema, intercepta bibliotecas sospechosas, bloquea scripts, verifica el hash de un archivo con una firma en la nube.
Podría parecer que la vida del atacante se vuelve insoportable. En realidad ha surgido todo un mercado subterráneo de utilidades creadas exclusivamente para ocultar malware a la vista del defensor. Los desarrolladores construyen esquemas complejos: trasladan la carga al kernel, suplantan procesos, borran huellas en los registros e incluso se escudan con firmas digitales pertenecientes a compañías reales.
A continuación —un estudio detallado de las técnicas con las que grupos profesionales eluden EDR y dificultan la pericia forense.
Por qué EDR dificulta, pero no detendrá a un operador experimentado
Un agente de endpoint es un conjunto de interceptores de API, monitorización del trazado de eventos de Windows, sensores en drivers y análisis comportamental. Cada capa aumenta la superficie de protección, pero al mismo tiempo abre puertas para manipulaciones «a la inversa». Por eso las bandas de cifradores invierten en herramientas capaces de «cegar» o «aturdir» el software de protección antes incluso del despliegue de la carga útil.
La táctica evoluciona: si en 2019 bastaba con descargar discretamente el proceso del antivirus, para 2025 el atacante prefiere privar temporalmente al agente del acceso al kernel y luego devolver todo como estaba, dejando el mínimo de artefactos ruidosos.
Process Hollowing, Doppelgänging y Herpaderping: un juego fino con imágenes
Las manipulaciones con el contenedor del proceso siguen siendo el bloque básico de la mayoría de las cadenas. Un ejecutable «hueco» se carga con una firma válida de Microsoft, tras lo cual la sección de trabajo de la memoria se sustituye por shellcode. Trucos con transacciones NTFS permiten prescindir por completo de guardar el archivo malicioso en disco —un enfoque llamado process doppelgänging, que luego evolucionó hacia el aún más sigiloso herpaderping.
Investigadores de Elastic mostraron que la notificación del EDR sobre la creación de un proceso llega solo después del arranque del primer hilo, creando una ventana corta para reemplazar el contenido de la sección. A mediados de 2025 aparecieron herramientas que automatizan este ataque con un solo clic, lo que reduce la barrera de entrada para delincuentes menos cualificados.
Reflective DLL Injection y llamadas directas al sistema sin hooks
Dado que la mayoría de agentes EDR se basan en hooks en modo usuario, se popularizó la estrategia del «single-syscall». La llamada se realiza sin la biblioteca estándar ntdll.dll: un fragmento ensamblador compilado forma la petición directamente, evitando la tabla de importación. Con frecuencia se combina con reflective DLL injection, cuando la biblioteca se despliega íntegramente en RAM y ejecuta su propio encabezado PE desde dentro.
El método no deja ningún archivo nuevo en disco, pero ofrece acceso total al proceso, incluida la posibilidad de modificar la estructura PEB y ocultar el PID padre. Para protegerse, las compañías deben implementar clases tipo Guardian que analicen no las API sino el comportamiento del hilo: frecuencia de transiciones a kernel-mode, número de asignaciones de memoria RWX y también firmas de desencriptadores de shellcode.
Vías alternativas: Process Ghosting, Fantomas y secciones dinámicas
La comunidad de pentesters llama en broma a la nueva ola de ataques con imágenes «fantasmas», porque el binario final no existe en disco en el momento en que el antivirus lo comprueba. La variante Process Ghosting se disfraza como una eliminación correcta del archivo inmediatamente después de abrir el descriptor, conservando el descriptor en memoria. A los colectivos APT les gusta este método porque es compacto y el código fuente se integra fácilmente en cualquier runtime.
Analistas de Picus subrayan que la fuga de memoria en la sección de imágenes sigue siendo prácticamente el único indicador fiable capaz de delatar al «fantasma». Sin embargo, esta característica solo se detecta mediante un análisis de correlación profundo, inaccesible para la mayoría de los SOC pequeños.
AMSI, ETW y otros «ojos» del sistema operativo
La Interfaz de análisis antimalware de Windows (AMSI) inspecciona scripts de PowerShell, JavaScript y VBA antes de su ejecución, por lo que los atacantes buscan masivamente formas de neutralizar el mecanismo. Modificar una o dos instrucciones dentro de una DLL aparenta superficialmente un error aleatorio, y el nuevo enfoque «sin parches» VEH² utiliza puntos de interrupción de hardware sin tocar el código de la biblioteca.
Paralelamente se investiga la desactivación de los sensores ETW: el ataque sustituye la estructura _ETW_GLOBALS en el espacio del kernel, forzando que el evento se enrute a una lista vacía de sesiones. Los proveedores reaccionan con lentitud, ya que cambiar el kernel requiere coordinación con PatchGuard, y mediante BYOVD se puede cargar un driver vulnerable y eludir la protección.
Trucos con drivers y Bring Your Own Vulnerable Driver
El escenario BYOVD ganó popularidad junto con la firma digital generalizada de drivers. El atacante descarga un módulo legítimo pero obsoleto que contiene una escritura arbitraria en MSR o acceso directo a la memoria física. Tras cargarlo, parchea el SSDT, desactiva callbacks, quita DSE y descarga el agente EDR.
La firma permanece válida, lo que complica enormemente la respuesta: bloquear el certificado implica arriesgar la compatibilidad de cientos de dispositivos. Halcyon documentó casos en que grupos extorsionadores integraron el instalador del driver directamente en el paquete con el cifrador, de modo que la «ceguera» del agente se producía ocho segundos después del arranque de la carga útil.
Manipulaciones de los registros y artefactos
La antiforense no termina con bloquear sensores. Al obtener privilegios SYSTEM, el operador elige la estrategia de «limpiar o embellecer». Limpiar significa la eliminación clásica de registros mediante wevtutil cl, desactivar Prefetch, borrar copias sombra.
Embellecer es más complejo: el atacante inserta eventos falsos, cambia marcas temporales («timestomping»), corrige atributos del registro USN o sustituye la entrada MFT mediante acceso directo al disco. La segunda opción es preferible para quienes planean una presencia a largo plazo: la investigación ve actividad «normal» en lugar de un vacío, y la coherencia en la línea temporal parece verosímil.
Sistema de archivos y contenedores ocultos
Los flujos alternativos de datos NTFS no son solo cosa de entusiastas: en el entorno APT sirven como almacenamiento temporal de la configuración del bot o de tokens robados. Un módulo cifra el perfil JSON y lo adjunta a legit.exe:Zone.Identifier, tras lo cual el archivo ante la vista del administrador permanece inalterado.
En sistemas Linux los creadores de malware recurren a archivos overlay, situando el ELF principal en una capa aufs accesible solo dentro del Mount Namespace. En ese caso los eventos inotify no registran las lecturas, lo que confunde incluso a un XDR avanzado orientado a descriptores de archivos.
Sigilo en la red: desde domain fronting hasta canales en la nube
Incluso el mejor camuflaje en memoria vale poco si el canal C2 se delata por un certificado TLS característico. Por eso los atacantes siguen dos sendas. La primera —domain fronting: el servidor real se esconde detrás de un CDN en la nube y el SNI parece un benigno «ajax.googleapis.com». La segunda —canal «gris»: intercambio a través de APIs legales de Dropbox, OneDrive o artefactos de GitHub Actions.
Para reducir el ruido ayudan la ofuscación del User-Agent como Chrome Beta, la rotación de direcciones IP cada tres minutos y el uso de ESNI, que oculta el nombre del sitio incluso frente a un cortafuegos.
Vida tras la intrusión: persistencia sin huellas
La persistencia se compone de pequeños detalles. Accesos directos LNK maliciosos, tareas del Programador de tareas con la fecha «Expired» puesta en ayer, un evento WMI que ejecuta un script al conectar la batería. En Linux se opta por una unidad systemd con Type=oneshot, eliminada mediante el hook ExecStopPost justo después del primer ciclo.
La idea general es instalarse en un punto que el administrador revise raramente, o «consumir» el mecanismo inmediatamente tras el arranque exitoso, dificultando la reconstrucción del ataque.
Qué puede hacer el defensor
El secreto del contraataque no es perseguir cada nuevo PoC, sino construir un modelo de observación multinivel. El primer nivel es un HVCI reforzado, que limpia el espacio del kernel de objetos no firmados. El segundo —control de integridad de la memoria (RAP, DEXGuard) y validación continua de ntdll.dll. El tercero —correlación de telemetría con datos de sensores externos: proxies, logs DNS, NetFlow. Finalmente, evaluaciones periódicas de investigación: reproduzcan scripts BYOVD, analicen el historial del agente, realicen ejercicios de Red Team y contrasten los resultados con los detectores.
Conclusión
Eludir EDR no es privilegio de APT élites: servicios de «malware-as-a-service», kits BYOVD listos, perfiles de Cobalt Strike preconfigurados —todo esto está disponible por unas pocas centenas de dólares. Eso significa que confiar solo en una firma o incluso en análisis comportamental ya no es suficiente. Gana el equipo que recopila datos lo más heterogéneos posible, los correlaciona al instante y verifica hipótesis regularmente mediante intrusiones controladas.
Basta con detenerse —y la obstinada estadística de incidentes recordará: el adversario evoluciona más rápido que el cliente firma el contrato de actualización del agente. La única manera de mantenerse en la carrera es no temer romper la propia infraestructura antes de que lo haga un competidor en un foro oscuro.
