Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2064
)
-
▼
marzo
(Total:
572
)
-
PS5 Pro y PS6 tendrán generación de fotogramas por IA
-
Adiós a los reinicios forzados en Windows 11: Micr...
-
5 cosas que Claude puede hacer y quizás no sabías
-
¿Para qué sirve la lámina de plástico negro que cu...
-
EDR killers: controladores vulnerables utilizado p...
-
SILENTCONNECT usa VBScript, PowerShell y enmascara...
-
Vulnerabilidades críticas en Jenkins exponen servi...
-
Cofundador Supermicro detenido por importar ilegal...
-
Tarjetas gráficas sin GPU ni VRAM, cajas llenas de...
-
Golpe a las IPTV piratas: ya hay usuarios que han ...
-
El MacBook Neo de 599 dólares sorprendió al mercad...
-
Primer colegio sancionado en España por el uso ind...
-
Explotación activa de CVE-2025-32975 permite tomar...
-
Empresa de software con grandes beneficios decide ...
-
Creó cientos de miles de canciones con IA y las re...
-
Visibilidad y controles de seguridad para Claude Code
-
Actualización de seguridad de Chrome corrige 26 vu...
-
Oracle emite actualización de seguridad urgente po...
-
Blue Origin de Jeff Bezos revela planes para un ce...
-
Filtración en Navia expone datos personales de 2,7...
-
Retiran una novela de las tiendas porque ha sido c...
-
El FBI y la CISA advierten que rusos atacan a pers...
-
Vulnerabilidad en centros de datos y servidores de...
-
Intel aumentará el precio de sus CPU de consumo en...
-
Vendedor estafado cuando cliente de eBay devuelve ...
-
Meta reducirá el uso de moderadores humanos apoyán...
-
Distros de Linux curiosas
-
Los precios de la DDR5 empiezan a bajar, pero se h...
-
Apex: herramienta pentester con IA para hallar vul...
-
Un robot se vuelve loco en pleno restaurante de Ca...
-
MAI-Image-2, Microsoft mejora su creador de imágenes
-
Lo barato sale caro: piezas de un PC que nunca deb...
-
El centro de datos de Softbank de 10 gigavatios pl...
-
Una madre utiliza la IA para que los desastres de ...
-
Errores comunes que debes evitar al configurar una...
-
AMD lanza FSR 4.1 para GPUs RX 9000-series
-
Microsoft da marcha atrás a la IA: M365 Copilot no...
-
BetterLeaks: herramienta de código abierto para es...
-
Expertos en ciberseguridad del Gobierno de EEUU cr...
-
GitHub se une a Google, Amazon (AWS), OpenAI y Ant...
-
Vulnerabilidades críticas en Ubiquiti UniFi permit...
-
Telegram logra un récord histórico de moderación p...
-
Campañas avanzadas de phishing y vishing con devic...
-
NVIDIA creará LPU para China con la arquitectura d...
-
El troyano bancario Horabot reaparece en México co...
-
AMD se alía con Samsung: busca garantizar su acces...
-
Alerta por la estafa del hilo invisible en cajeros
-
Microsoft considera demandar a OpenAI por el recie...
-
OpenAI lanza GPT-5.4 Mini y Nano para responder el...
-
Kioxia anuncia nuevo SSD de súper alto IOPS que ac...
-
Meta abandona su plataforma en el metaverso Horizo...
-
YouTube quiere que los usuarios detecten vídeos cr...
-
PowerToys 0.98 para Windows ya está disponible con...
-
Bolsas Faraday, qué son esas extrañas fundas para ...
-
Samsung alerta contra la infracción de patentes de...
-
Malas noticias para los clientes de Starlink, Elon...
-
Nuevo exploit de iOS con herramientas avanzadas de...
-
Vulnerabilidad de día cero en firewall de Cisco ex...
-
Guardar datos en una memoria USB de 32 GB durante ...
-
El primer SSD M.2 de 16 TB del mercado aterriza a ...
-
iPhones pueden ser hackeados con solo visitar una web
-
Google mejora la experiencia gratuita de Gemini
-
Casi 20 años después Sony lanza un update para la ...
-
CISA advierte sobre vulnerabilidad en Microsoft Sh...
-
Cómo cambiar una partición de Windows de MBR a GPT...
-
Red de bots vinculada a Irán al descubierto tras f...
-
Vendedor de eBay recibe de vuelta una ZOTAC RTX 50...
-
Un modder convierte una Xbox en un PC para juegos:...
-
"Tu DNI en venta por menos de 4 dólares"
-
Un YouTuber convierte una Xbox Series X en un PC g...
-
Caja PC con todo Noctua con la Antec Flux Pro (Caj...
-
Fan Control, pwmConfig y lm_sensors para configura...
-
Spotify activa la función "Modo exclusivo" para au...
-
SSD de 16TB cuesta casi 16.000$
-
CHUWI no está sola, Ninkear también usa procesador...
-
La IA china DeepSeek V4 se habría dejado ver antes...
-
CVE-2026-3888 en Ubuntu: escalada a root aprovecha...
-
FiltraciónNet amplía operaciones de ransomware con...
-
Vulnerabilidad crítica en Telnetd permite a atacan...
-
El mejor emulador de PS4 se actualiza: ShadPS4 rec...
-
Exposición de servidor de FancyBear revela credenc...
-
Vulnerabilidad en ScreenConnect permite extraer cl...
-
Nuevas campañas de malware convierten dispositivos...
-
Vulnerabilidad en WebKit de Apple permite eludir c...
-
El Ryzen 5 5500 se convierte en el procesador más ...
-
Orange compensará en la próxima factura tras el co...
-
DLSS 5 no es un simple filtro para las caras: mejo...
-
Adobe forja una alianza con NVIDIA en un intento d...
-
Comprar por Internet es ahora más peligroso debio ...
-
Intel Xeon 6 elegido como CPU anfitrión para los s...
-
Nvidia presenta la bandeja Rubin Ultra, la primera...
-
Microsoft encuentra al culpable (y la solución) de...
-
El POD Vera Rubin de Nvidia con 60 exaflops: cómo ...
-
NVIDIA DLSS 5 explicado en 12 preguntas y respuest...
-
Intel apunta a hacerse de oro con la IA: packaging...
-
El cable Titanload Pro alcanza una temperatura has...
-
Google advierte que los actores de ransomware camb...
-
Jensen Huang dice que los jugadores están "complet...
-
Glassworm infecta paquetes populares de React Nati...
-
Vulnerabilidad en sistemas Ubuntu Desktop permite ...
-
-
▼
marzo
(Total:
572
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Winhance es una herramienta gratuita que elimina el 'bloatware' de Windows 10 y 11 , optimizando el rendimiento del PC al limpiar... -
Expertos en ciberseguridad del Gobierno de EEUU califican la nube de Microsoft (GCC) como "una porquería" por no garantizar la ... -
Las bolsas Faraday son fundas para móviles que bloquean señales usando el principio de la jaula de Faraday, empleadas en reuniones de alto...
EDR killers: controladores vulnerables utilizado para deshabilitar EDR
Un nuevo análisis de EDR Kiellers ha revelado que 54 de ellos aprovechan una técnica conocida como Trae tu Propio Controlador Vulnerable (Bring Your Own Vulnerable Driver - BYOVD) al abusar de un total de 34 controladores vulnerables.
Los programas EDR Killer han sido una presencia común en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detección.
"Las bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), con frecuencia producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilación no sea detectada de manera confiable puede llevar mucho tiempo", dijo el investigador de ESET, Jakub Souček.
Drivers vulnerables
La técnica BYOVD se ha convertido en el sello distintivo de los EDR killers modernos: dominante, confiable y ampliamente utilizada. En un escenario típico, un atacante deja caer un driver legítimo pero vulnerable en la máquina de la víctima, instala ese driver y luego ejecuta malware que abusa de la vulnerabilidad del driver. El objetivo es terminar procesos protegidos o desactivar callbacks de los que dependen los productos de seguridad.
Aunque existen miles de drivers legítimos vulnerables, solo un subconjunto relativamente pequeño es explotado de manera activa en incidentes de ransomware. Sin embargo, la disponibilidad de PoCs públicos significa que, en la práctica, no hay límite para la cantidad de actores que pueden adoptar o adaptar exploits para estas vulnerabilidades. Algunos atacantes reutilizan bases de código existentes con cambios mínimos o nulos; otros no cambian la lógica pero los reimplementan en su lenguaje de programación preferido; y algunos incluso desarrollan EDR killers completamente nuevos (manteniendo solo una pequeña parte del código original responsable de la explotación del driver) que luego usan ellos mismos u ofrecen como servicio.
Los "asesinos de EDR" actúan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar otros malware, manteniendo así estos últimos simples, estables y fáciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los módulos de ransomware y terminación EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.
La mayoría de estos aplicativos dependen de drivers legítimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utilizan la conocida táctica BYOVD simplemente porque es confiable.
"El objetivo de un ataque BYOVD es obtener privilegios en modo kernel, a menudo llamado Anillo 0", explica Bitdefender. "En este nivel, el código tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, 'trae' un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versión antigua de antivirus) que tiene una vulnerabilidad conocida".
Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza de los drivers de Microsoft para evadir las defensas, aprovechando el hecho de que un driver vulnerable es legítimo y está firmado.
Los EDR killers basados en BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:
- Grupos cerrados de ransomware como DeadLock y Warlock que no dependen de afiliados
- Los atacantes bifurcan y modifican el código de prueba de concepto existente (por ejemplo, SmilingKiller y TfSysMon-Killer)
- Los ciberdelincuentes comercializan dichas herramientas en mercados clandestinos como un servicio (por ejemplo, DemoKiller aka Бафомет, ABYSSWORKER, y CardSpaceKiller)
ESET dijo que también identificó herramientas basadas en scripts que utilizan comandos administrativos integrados como taskkill, net stop o sc delete para interferir con el funcionamiento normal de los procesos y servicios de los productos de seguridad. También se ha descubierto que determinadas variantes combinan secuencias de comandos con el modo seguro de Windows.
La tercera categoría de los EDR killers son los anti-rootkits, que incluyen utilidades legítimas como GMER, HRSword y PC Hunter, que ofrecen una interfaz de usuario intuitiva para finalizar procesos o servicios protegidos. Una cuarta clase emergente es un conjunto de asesinos de EDR sin conductor, como EDRSilencer y EDR-Freeze, que bloquean el tráfico saliente de las soluciones EDR y hacen que los programas entren en un estado similar al de "coma".
"Los atacantes no están poniendo mucho esfuerzo en hacer que sus cifrados no sean detectados", dijo ESET. "Más bien, todas las técnicas sofisticadas de evasión de defensa se han trasladado a los componentes del modo de usuario de los asesinos EDR. Esta tendencia es más visible en los asesinos EDR comerciales, que a menudo incorporan capacidades maduras de antianálisis y antidetección".
Para combatir el ransomware y los asesinos de EDR, bloquear la carga de los controladores comúnmente utilizados indebidamente es un mecanismo de defensa necesario. Sin embargo, dado que los asesinos de EDR se ejecutan solo en la última etapa y justo antes de iniciar el cifrador, una falla en esta etapa significa que el actor de la amenaza puede cambiar fácilmente a otra herramienta para realizar la misma tarea.
Los investigadores de ESET destacaron un ejemplo temprano de este modelo de desarrollo interno en 2024 con la banda Embargo. En ese momento, Embargo se apoyaba en dos EDR killers: un script personalizado de Modo Seguro, aprovechando la técnica ya descrita anteriormente, y MS4Killer, una herramienta inspirada en el PoC públicamente disponible s4killer.
Los desarrolladores MS4Killer realizaron cambios significativos: añadieron paralelismo, modificaron el flujo de código, y cifraron las strings y el driver embebido. Desde la publicación de esa investigación, Embargo ha migrado a otro PoC público, evil-mhyprot-cli, esta vez con modificaciones mínimas al código.Un segundo ejemplo, más reciente, es la banda DeadLock. Los investigadores han observado a DeadLock utilizando dos EDR killers, DLKiller (también mencionado como loader sin nombre por Cisco Talos) y Susanoo. Curiosamente, Susanoo proporciona una pantalla de carga y una GUI, permitiendo la interacción manual y esperando que el atacante tenga acceso interactivo a la máquina de la víctima.
Fuente: THN
Fuentes:
http://blog.segu-info.com.ar/2026/03/edr-killers-controladores-vulnerables.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.