AMSI bypass
AMSI inspecciona scripts (PowerShell, VBScript, JS) y .NET assemblies en runtime.
Categoría: Red Team & Evasión 🎯 Trinchera — AMSI inspecciona scripts (PowerShell, VBScript, JS) y .NET assemblies en runtime.AmsiScanBuffer es la API
clave. Patcheándola en memoria (con escritura a 0xC3 al inicio)
neutralizas la inspección. Funciona en 2026 con técnicas modernas
(HW breakpoints, hooks no-entrypoint).
🔗 Kill chain — Stage 1: bypass AMSI. Stage 2: load
herramientas in-memory (Invoke-Mimikatz, Rubeus,
SharpHound).
📡 Huella defensiva — Defender escanea memoria de
amsi.dll y detecta firma de patch clásico. ETW-TI ve
NtSetContextThread. Sigma proc_creation_win_susp_amsi_bypass_pattern.yml.
⚠️ Falso amigo — Cada versión de Defender mata un bypass
distinto. En 2026 los bypasses estáticos públicos están todos
firmados; necesitas variantes propias.
🛡️ Remediación — Defender activo + cloud delivered protection,
ASR rules, EDR con ETW-TI subscription.
← Volver al glosario completo Última actualización: 2026-06-11