Saltar al contenido principal

AMSI bypass

AMSI inspecciona scripts (PowerShell, VBScript, JS) y .NET assemblies en runtime.

Categoría: Red Team & Evasión 🎯 Trinchera — AMSI inspecciona scripts (PowerShell, VBScript, JS) y .NET assemblies en runtime. AmsiScanBuffer es la API clave. Patcheándola en memoria (con escritura a 0xC3 al inicio) neutralizas la inspección. Funciona en 2026 con técnicas modernas (HW breakpoints, hooks no-entrypoint). 🔗 Kill chain — Stage 1: bypass AMSI. Stage 2: load herramientas in-memory (Invoke-Mimikatz, Rubeus, SharpHound). 📡 Huella defensiva — Defender escanea memoria de amsi.dll y detecta firma de patch clásico. ETW-TI ve NtSetContextThread. Sigma proc_creation_win_susp_amsi_bypass_pattern.yml. ⚠️ Falso amigo — Cada versión de Defender mata un bypass distinto. En 2026 los bypasses estáticos públicos están todos firmados; necesitas variantes propias. 🛡️ Remediación — Defender activo + cloud delivered protection, ASR rules, EDR con ETW-TI subscription.
Volver al glosario completo Última actualización: 2026-06-11