Saltar al contenido principal

Process Hollowing

Crear proceso suspended (CreateProcess con CREATE_SUSPENDED), unmap su imagen original, escribir tu shellcode/PE en su lugar, ResumeThread.

Categoría: Red Team & Evasión 🎯 Trinchera — Crear proceso suspended (CreateProcess con CREATE_SUSPENDED), unmap su imagen original, escribir tu shellcode/PE en su lugar, ResumeThread. El proceso “es” ahora tu malware pero con metadata legítima (firma, nombre). 🔗 Kill chain — Cargar notepad.exe suspendido, reemplazar con beacon, reanudar. AV ve notepad.exe, no ve el cambio en memoria a menos que tenga ETW-TI o memscan activos. 📡 Huella defensiva — ETW-TI events EtwTiLogReadWriteVm/AllocVm con cross-process write; Sysmon EID 8 (CreateRemoteThread). ⚠️ Falso amigo — En 2026 EDRs modernos (CrowdStrike, SentinelOne, MDE) detectan process hollowing por defecto. 🛡️ Remediación — Behavioral detection en EDR, hunt de procesos con firma vs comportamiento anómalo (ej. notepad accediendo a LSASS).
Volver al glosario completo Última actualización: 2026-06-11