Técnicas de PENTESTING: Cómo evadir EDRs activos sin ser detectado

Masterclass pentesting con EDRs impartida por Iván Cabrera de Tarlogic

En esta Masterclass organizada por NEOLAND junto a Iván Cabrera, Pentester en Tarlogic, descubrirás cómo realizar pruebas de penetración (pentesting) en entornos que cuentan con soluciones activas de Detección y Respuesta de Puntos Finales (EDRs). ¡Una clase imprescindible para quienes se dedican al campo de la Ciberseguridad!

¿Qué son los EDRs?

Un EDR (Endpoint Detection and Response) se define como un antivirus avanzado que supervisa todos los procesos del sistema, tanto a nivel de usuario como de kernel. Cuenta con componentes como:

 

  • Escáner: analiza de forma estática y dinámica la presencia de malware.
  • Hooks: con la tecnología ETW, analiza los registros de Windows.
  • Reglas: detecta comportamiento malicioso mediante Yara u otros tipos de reglas.
  • Análisis de red: detecta conexiones sospechosas o exfiltración de datos.
  • Ejecuta callbacks: analiza la parte del kernel para evitar la modificación de atributos.

La creciente adopción de soluciones EDR por parte de las empresas ha transformado las tácticas y estrategias de los pentesters, quienes ahora deben sortear estas medidas de seguridad avanzadas. 

 

Y es que, anteriormente era común solicitar la desactivación de antivirus o EDRs durante las auditorías internas. Sin embargo, la tendencia actual apunta hacia mantener activas estas defensas y evaluar la capacidad del pentester para operar en un entorno simulado realista.

¿Cómo realizar pentesting con EDRs?

La masterclass de Iván Cabrera se estructuró en torno a las fases de una auditoría interna y cómo los productos de seguridad, como los EDR y el Antimalware Scan Interface (AMSI), complican el trabajo del pentester. Iván Cabrera enfatizó que el conocimiento de los fundamentos de Windows y las APIs nativas son esenciales para evadir la detección y evitar generar telemetría que dispare alertas.

 

Las APIs de Windows son un conjunto de librerías y funciones que permiten interactuar con el sistema operativo a bajo nivel. El dominio de estas APIs es crucial para los pentesters, ya que ofrecen métodos para realizar acciones de forma más sigilosa y evadir las detecciones de los EDRs. Técnicas como el «time stomping» (modificación de marcas de tiempo de archivos) y el uso de comandos nativos de Windows en lugar de herramientas externas son ejemplos de cómo las APIs pueden utilizarse para dificultar la detección de actividades maliciosas.

 

Así, se presentaron técnicas de evasión tanto en el reconocimiento local como del Directorio Activo; y se ofrecieron recomendaciones de herramientas para el volcado sigiloso de credenciales.

Persona realizando pentesting

 

Claves para el Pentesting con EDRs

La clase destacó varios puntos fundamentales para cualquier profesional que aspire a trabajar en ciberseguridad en entornos empresariales:

 

  1. La necesidad de sigilo ante el EDR

  • EDR vs. Antivirus Tradicional: El EDR no solo busca malware conocido, sino que monitorea, detecta y analiza todos los procesos del sistema en tiempo real. Esto obliga al pentester a dejar de usar herramientas conocidas y ruidosas (como Nmap o Bloodhound) que el EDR bloqueará instantáneamente.

 

  • Evasión de Telemetría: Ejecutar comandos de terminal habituales (whoami, ipconfig) genera procesos que el EDR registra. La solución es utilizar APIs de Windows que realizan la misma función sin generar nuevos procesos ni telemetría que analizar.

 

  1. Fundamentos de Windows y el uso de APIs

  • Modos de Operación: Es crucial entender la división entre el modo usuario (menos privilegiado) y el modo kernel (súper privilegiado, donde operan los drivers del EDR).

 

  • Técnicas de Evasión con APIs: Un ejemplo práctico es el time stomping, que utiliza la API SetFileTime para modificar la hora de creación o acceso de un archivo, eliminando el indicador de compromiso que una herramienta recién creada podría dejar.

 

  1. Reconocimiento sigiloso del Directorio Activo (AD) 

El Directorio Activo (AD) sigue siendo un objetivo clave en las auditorías internas. Comprometer el AD a menudo implica escalar privilegios desde un usuario con derechos limitados hasta un administrador de dominio, lo que permite el control sobre toda la infraestructura. Las técnicas para enumerar usuarios, grupos y políticas en el AD deben adaptarse para evitar la detección por parte de los EDRs.

 

  • Comandos nativos: Para el reconocimiento local, la solución más sencilla es utilizar comandos nativos de Windows como net o PowerShell (si no está bloqueado).

 

  • LDAP como Protocolo clave: Se destacó el uso del protocolo LDAP (Lightweight Directory Access Protocol) como la forma más sigilosa y potente para enumerar usuarios y atributos del AD. Iván Cabrera recomienda ejecutar consultas en crudo, una a una, espaciadas en el tiempo, para evitar la detección.

 

  • Ofuscación y Protocolos alternativos: Para evadir el filtrado por firewall o la detección del EDR, se puede recurrir a:
    • Ofuscación LDAP: Reemplazar cadenas legibles por su equivalente en hexadecimal.
    • ADWS: Utilizar el protocolo Active Directory Web Service (ADWS) a través del puerto TCP 9389, ya que a menudo no está monitorizado.

 

  1. Evasión de AMSI

  • AMSI (Antimalware Scan Interface): Tecnología de Windows que escanea código (principalmente PowerShell, VBScript y .NET) para detectar scripts maliciosos.

 

  • Técnicas de Bypass: La detección se puede evadir parcheando o eliminando la DLL amsi.dll del proceso, utilizando hardware breakpoints, o forzando que AmsiInitialize devuelva un error, aunque estos métodos pueden ser ruidosos.

 

  1. Volcado de Credenciales

  • Evitar lo ruidoso: Para el volcado sigiloso de credenciales, se debe evitar la técnica tradicional para NTDS.

 

  • Recomendaciones de Herramientas: Se sugirió Hash Dumper para el volcado de la SAM (usuarios locales) y herramientas como Trick Damp o Magnet Run Capture para LSASS, ya que usan APIs de Windows para evadir los patrones de detección del EDR.

 

Estrategias para la evasión de defensas EDR durante el testeo de penetración

En resumen, en la Masterclass se han proporcionado diferentes estrategias para evitar ser detectado por un EDR durante las fases de un test de penetración:

 

  • Time Stomping: Modificar las marcas de tiempo de los archivos para que parezcan antiguos y evitar sospechas.
  • Ejecución de binarios sin generar telemetría: Utilizar comandos como `set` en CMD que no generan procesos ni telemetría.
  • Uso de herramientas del sistema operativo: Utilizar herramientas integradas en Windows en lugar de herramientas externas para evitar ser detectado.
  • Listado de la configuración actual: La utilidad de Power Shell `ADSI` puede enumerar configuración, usuarios y DCs.
  • Comandos genéricos de Powershell: El uso de estos comandos evitan la creación de nuevos procesos.

 

Se recomienda disponer de un laboratorio local que simule un entorno real de la empresa, donde se puedan probar las herramientas y técnicas de intrusión antes de utilizarlas en un entorno de producción. Este laboratorio permite evaluar el comportamiento de los EDR ante las diferentes acciones, y así evitar ser detectado en un entorno real.

 

Si quieres ver la clase completa, la tienes aquí: 

 

Masterclass organizadas por NEOLAND

Esta clase sobre Pentesting con EDRs es solo un ejemplo de los eventos organizados por NEOLAND. Todos los meses se imparte, en directo para alumnos de NEOLAND, varias Masterclass relacionadas con las formaciones que se imparten en la escuela. Todas ellas están impartidas por reconocidos profesionales de destacadas empresas.

 

Asimismo, desde el área de Job Support, se organizan charlas, talleres o encuentros con empresas. Todo ello, con el objetivo de ayudar a los estudiantes de la escuela a estar actualizados con las últimas tendencias y de poner en contacto a alumnos con profesionales del sector tecnológico y digital, potenciando así su empleabilidad y creando oportunidades de networking. 

 ¿Quieres estudiar Ciberseguridad?

La masterclass de Iván Cabrera nos recuerda que en el mundo de la Ciberseguridad, el conocimiento de los sistemas operativos a bajo nivel y el dominio de técnicas de sigilo son tan importantes como las propias herramientas de ataque. Es la única forma de simular amenazas reales y validar la seguridad de una organización.

 

Si quieres estudiar Ciberseguridad, en NEOLAND contamos con diferentes opciones formativas que te prepararán para este sector con alta demanda laboral:

 

  • Bootcamp en Ciberseguridad: Una formación intensiva que te convierte en profesional en pocas semanas. Con clases en directo y modalidades tanto a jornada completa como parcial; en remoto o presencial en Madrid o Barcelona, es la opción más rápida para formarte en esta disciplina

 

  • Máster Online en Cybersecurity: una formación a tu ritmo, con clases grabadas en vídeo para que las veas cuando y donde quieras, y todas las veces que lo necesites. Es la mejor opción si necesitas flexibilidad total a la hora de estudiar, ya que no dependes de horarios de clase y le puedes dedicar el tiempo que consideres. 

 

En ambos aprenderás, con nuestra metodología práctica, los fundamentos de la Ciberseguridad y toda lo que necesitas para trabajar tanto en un  Red Team como en un Blue Team. Rellena este formulario si quieres que enviemos más información. 

 

Bootcamp Ciberseguridad