Nuevas Tendencias en Evasión de EDRs en 2025
Ya sabéis que los Endpoint Detection and Response (EDRs) monitorizan las llamadas a la API de Windows en busca de comportamientos sospechosos. Normalmente, interceptan las funciones en ntdll.dll mediante técnicas como hooking de API en user-mode. Hasta ahora, usábamos evasiones como las syscalls directas, en C, assembly, SysWhispers o Halo’s Gate por ejemplo, pero estas medidas por sí solas ya no son suficientes porque los EDRs modernos han evolucionado y han incorporado múltiples mecanismos de detección:Windows y los EDRs ahora usan Event Tracing for Windows (ETW) para capturar actividad en tiempo real. ETW puede detectar cuando un proceso está haciendo syscalls no usuales o ejecutando código en memoria RWX.Luego no nos olvidemos de AMSI (Antimalware Scan Interface) que escanea y bloquea shellcode en ejecución.Monitorización en kernel-mode. Aunque evitemos los hooks en ntdll.dll, los EDRs modernos inspeccionan las syscalls en kernel-mode. Esto significa que aunque un atacante use una syscall directa, el EDR puede seguir detectando comportamientos anómalos (como la asignación de memoria RWX).Detección basada en heurísticas y comportamiento: Un proceso que carga código en memoria ejecutable, realiza modificaciones en el stack o genera procesos hijos sospechosos puede ser detectado incluso sin hooks en ntdll.dll.Algunos EDRs implementan detección basada en Machine Learning, que busca patrones de comportamiento en la ejecución del código.Inspección de memoria y detección de shellcode. Además herramientas como EDR hooks, ETW y Page Guard pueden detectar cuando un shellcode intenta ejecutarse en memoria no legítima.Algunos EDRs ahora aplican protección contra syscall stomping y monitorean qué funciones de Windows están siendo llamadas por los procesos....¿Cómo demonios entonces podemos, nosotros los simples mortales, evadir nuestros queridos e infames EDRs? Pues como podéis imaginar, los atacantes han desarrollado nuevas técnicas para evadir estas protecciones. En este artículo, exploramos las técnicas más recientes para la evasión de EDRs:
Ya sabéis que los Endpoint Detection and Response (EDRs) monitorizan las llamadas a la API de Windows en busca de comportamientos sospechosos. Normalmente, interceptan las funciones en ntdll.dll mediante técnicas como hooking de API en user-mode. Hasta ahora, usábamos evasiones como las syscalls directas, en C, assembly, SysWhispers o Halo’s Gate por ejemplo, pero estas medidas por sí solas ya no son suficientes porque los EDRs modernos han evolucionado y han incorporado múltiples mecanismos de detección:
- Windows y los EDRs ahora usan Event Tracing for Windows (ETW) para capturar actividad en tiempo real. ETW puede detectar cuando un proceso está haciendo syscalls no usuales o ejecutando código en memoria RWX.
- Luego no nos olvidemos de AMSI (Antimalware Scan Interface) que escanea y bloquea shellcode en ejecución.
- Monitorización en kernel-mode. Aunque evitemos los hooks en ntdll.dll, los EDRs modernos inspeccionan las syscalls en kernel-mode. Esto significa que aunque un atacante use una syscall directa, el EDR puede seguir detectando comportamientos anómalos (como la asignación de memoria RWX).
- Detección basada en heurísticas y comportamiento: Un proceso que carga código en memoria ejecutable, realiza modificaciones en el stack o genera procesos hijos sospechosos puede ser detectado incluso sin hooks en ntdll.dll.
- Algunos EDRs implementan detección basada en Machine Learning, que busca patrones de comportamiento en la ejecución del código.
- Inspección de memoria y detección de shellcode. Además herramientas como EDR hooks, ETW y Page Guard pueden detectar cuando un shellcode intenta ejecutarse en memoria no legítima.
- Algunos EDRs ahora aplican protección contra syscall stomping y monitorean qué funciones de Windows están siendo llamadas por los procesos.
¿Cómo demonios entonces podemos, nosotros los simples mortales, evadir nuestros queridos e infames EDRs?
Pues como podéis imaginar, los atacantes han desarrollado nuevas técnicas para evadir estas protecciones. En este artículo, exploramos las técnicas más recientes para la evasión de EDRs:
