Red Team moderno — EDR & C2
Aviso pedagógico: Material para Red Teams autorizados,
equipos Blue/Purple y CTFs. Toda la información procede de
fuentes públicas (MITRE ATT&CK, conferencias DEFCON/BlackHat
2024-2025, blogs de vendors). Se omiten payloads operacionales —
el énfasis es detección defensiva.
Estado del ecosistema EDR 2026
Pilares comunes:
- Kernel callbacks (
PsSetCreateProcessNotifyRoutineEx,ObRegisterCallbacks). - ETW Threat-Intelligence (PPL Anti-Malware obligatorio).
- AMSI providers + DLL custom del vendor.
- Mini-filter para FS.
- Telemetría nube + ML.
AMSI bypass moderno 2026
Técnicas vivas
Técnicas muertas / quemadas
- Patch clásico
0xC3en entry deAmsiScanBuffer→ firma masiva en Defender (memscan + ETW-TI). Invoke-Obfuscationtoken obfuscation → firmas Sigma/AMSI públicas.- AmsiScanBuffer write-raid → parcheado.
powershell -version 2) sigue funcionando
si el sistema lo permite, pero está deshabilitado por defecto desde
Windows 10 y muchas baseline CIS lo bloquean.
Detección: Sigma proc_creation_win_powershell_amsi_bypass.yml,
ETW-TI eventos EtwTiLogReadWriteVm, memory scans del vendor sobre
amsi.dll.
Fuentes: r-tec — Bypass AMSI 2025,
CrowdStrike — Patchless AMSI.
ETW patching y evasión
Concepto:EtwEventWrite y EtwEventWriteFull son proxys
hacia NtTraceEvent en ntdll.dll. Patchear el primer byte con
0xC3 neutraliza ETW user-mode. MITRE T1562.006.
Limitación crítica: el provider Microsoft-Windows-
Threat-Intelligence (ETW-TI) vive en kernel y no se puede
silenciar desde user-mode. Vigila APC injection, RWX,
NtReadVirtualMemory, NtProtectVirtualMemory. Para suscribirse
hace falta ser PPL Anti-Malware — lo usan Defender for Endpoint,
CrowdStrike, SentinelOne, Cortex XDR.
Vector vigente: parchear ETW user-mode + usar HW breakpoints
para evadir telemetría local; lo que llega a kernel ETW-TI no se
puede tapar sin BYOVD.
Fuentes: Binarly — bypassing ETW EDR,
0xflux ETW patching Rust.
Frameworks C2 profesionales 2026
Observación 2024-2025 (Red Canary + Alphahunt): Sliver,
Havoc y Mythic superan a Cobalt Strike en evasión ante
Defender for Endpoint, CrowdStrike y SentinelOne en pruebas
recientes.
Fuentes: Alphahunt — Modular C2 2025-2026,
Red Canary Threat Detection Report,
Hunt.io watermarks.
Lateral movement evasivo 2026
LOLBAS top 10 (2025-2026)
Q3-2025: LOLBins en 17 % de incidentes (Red Canary). Campañas Flax Typhoon y Remcos/NetSupport (ene-2026) sin malware custom, sólo binarios firmados.
Fuentes: LOLBAS project,
CrowdStrike — 8 LOLBins every threat hunter should know.
Initial Access moderno 2026
Recursos defensivos:
- LOLDrivers.io — ~917 drivers catalogados.
- Microsoft Vulnerable Driver Blocklist (HVCI / Memory Integrity) con actualizaciones trimestrales.
Defensa — mapeo detección
Conclusión pedagógica
Para defensa: priorizar ETW-TI, HVCI con vulnerable driver blocklist al día, AMSI provider integrity y mantener Sigma + YARA actualizadas vía SigmaHQ. Hunt activo en EID 4104 (PowerShell ScriptBlock) y Sysmon EID 1/3/7/10/11 con baseline correlado. Para ofensiva legítima (Red Team autorizado): asumir que user-mode evasion es el punto de entrada, no el endgame. Diseñar la kill-chain pensando en kernel ETW-TI desde minuto 1 — o aceptar que serás detectado en stage 2.Recursos consolidados
- SigmaHQ repo
- LOLDrivers.io
- LOLBAS project
- MITRE ATT&CK Enterprise
- Microsoft Recommended Driver Block Rules
- Praetorian — ETW-TI & HW breakpoints
- InfoGuard Labs — EDR driver analysis
- BC Security — Empire 5.0
- Cybereason — WMI lateral movement
- enigma0x3 — DCOM MMC20
Recursos relacionados
- Glosario táctico — Mimikatz, Pass-the-Hash, BloodHound.
- Metodología profesional — MITRE ATT&CK mapping.
- AD CS — vector de privesc en Red Team contra AD.