Saltar al contenido principal

Red Team moderno — EDR & C2

Aviso pedagógico: Material para Red Teams autorizados, equipos Blue/Purple y CTFs. Toda la información procede de fuentes públicas (MITRE ATT&CK, conferencias DEFCON/BlackHat 2024-2025, blogs de vendors). Se omiten payloads operacionales — el énfasis es detección defensiva.
El balance ofensiva/defensa en 2026 está en el kernel ETW-TI: cualquier evasión seria que sólo opere en user-mode (patches AMSI / ETW classic) deja huella visible para EDRs PPL-aware. La frontera real son HW breakpoints + BYOVD + frameworks modulares (Mythic / Sliver / Havoc) con OPSEC artesanal por engagement.

Estado del ecosistema EDR 2026

Pilares comunes:
  1. Kernel callbacks (PsSetCreateProcessNotifyRoutineEx, ObRegisterCallbacks).
  2. ETW Threat-Intelligence (PPL Anti-Malware obligatorio).
  3. AMSI providers + DLL custom del vendor.
  4. Mini-filter para FS.
  5. Telemetría nube + ML.

AMSI bypass moderno 2026

Técnicas vivas

Técnicas muertas / quemadas

  • Patch clásico 0xC3 en entry de AmsiScanBuffer → firma masiva en Defender (memscan + ETW-TI).
  • Invoke-Obfuscation token obfuscation → firmas Sigma/AMSI públicas.
  • AmsiScanBuffer write-raid → parcheado.
PowerShell legacy v2 (powershell -version 2) sigue funcionando si el sistema lo permite, pero está deshabilitado por defecto desde Windows 10 y muchas baseline CIS lo bloquean. Detección: Sigma proc_creation_win_powershell_amsi_bypass.yml, ETW-TI eventos EtwTiLogReadWriteVm, memory scans del vendor sobre amsi.dll. Fuentes: r-tec — Bypass AMSI 2025, CrowdStrike — Patchless AMSI.

ETW patching y evasión

Concepto: EtwEventWrite y EtwEventWriteFull son proxys hacia NtTraceEvent en ntdll.dll. Patchear el primer byte con 0xC3 neutraliza ETW user-mode. MITRE T1562.006. Limitación crítica: el provider Microsoft-Windows- Threat-Intelligence (ETW-TI) vive en kernel y no se puede silenciar desde user-mode. Vigila APC injection, RWX, NtReadVirtualMemory, NtProtectVirtualMemory. Para suscribirse hace falta ser PPL Anti-Malware — lo usan Defender for Endpoint, CrowdStrike, SentinelOne, Cortex XDR. Vector vigente: parchear ETW user-mode + usar HW breakpoints para evadir telemetría local; lo que llega a kernel ETW-TI no se puede tapar sin BYOVD. Fuentes: Binarly — bypassing ETW EDR, 0xflux ETW patching Rust.

Frameworks C2 profesionales 2026

Observación 2024-2025 (Red Canary + Alphahunt): Sliver, Havoc y Mythic superan a Cobalt Strike en evasión ante Defender for Endpoint, CrowdStrike y SentinelOne en pruebas recientes. Fuentes: Alphahunt — Modular C2 2025-2026, Red Canary Threat Detection Report, Hunt.io watermarks.

Lateral movement evasivo 2026


LOLBAS top 10 (2025-2026)

Q3-2025: LOLBins en 17 % de incidentes (Red Canary). Campañas Flax Typhoon y Remcos/NetSupport (ene-2026) sin malware custom, sólo binarios firmados. Fuentes: LOLBAS project, CrowdStrike — 8 LOLBins every threat hunter should know.

Initial Access moderno 2026

Recursos defensivos:
  • LOLDrivers.io — ~917 drivers catalogados.
  • Microsoft Vulnerable Driver Blocklist (HVCI / Memory Integrity) con actualizaciones trimestrales.
Fuentes: Microsoft — HTML smuggling, Trellix — OneClik, Sophos — BlackByte RTCore64.

Defensa — mapeo detección


Conclusión pedagógica

Para defensa: priorizar ETW-TI, HVCI con vulnerable driver blocklist al día, AMSI provider integrity y mantener Sigma + YARA actualizadas vía SigmaHQ. Hunt activo en EID 4104 (PowerShell ScriptBlock) y Sysmon EID 1/3/7/10/11 con baseline correlado. Para ofensiva legítima (Red Team autorizado): asumir que user-mode evasion es el punto de entrada, no el endgame. Diseñar la kill-chain pensando en kernel ETW-TI desde minuto 1 — o aceptar que serás detectado en stage 2.

Recursos consolidados


Recursos relacionados