Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4641
)
-
▼
junio
(Total:
258
)
-
La alianza de navegadores (BCA) demanda a Microsof...
-
Nidos de pájaro hechos con fibra óptica: el peligr...
-
RTX Spark: el reto de apps x86 y juegos
-
Linux Foundation respalda la IA para crear empleo
-
FBI: China recluta espías en LinkedIn
-
UNC3753 empleó vishing e intrusiones físicas en ca...
-
Nuevo modo de bloqueo de ChatGPT contra inyeccione...
-
Anthropic pide frenar la IA para evitar perder el ...
-
Ataque de ransomware mantiene cerrada escuela secu...
-
Nuevo Lucid Stealer ataca 18 navegadores, billeter...
-
Chrome corrige 429 vulnerabilidades, 22 críticas
-
Una aplicación para «estropear» vídeos convirtiénd...
-
WhatsApp frustra ciberataque de NSO con el spyware...
-
Anthropic crea IA de mejora infinita y pide detene...
-
AMD niega la garantía de un Ryzen 9 7950X3D hinchado
-
¿Dejarías que la IA publique por ti en tus redes s...
-
Xbox Series X25: Edición 25 aniversario
-
OWASP publica reporte de seguridad de IA para prof...
-
Varias vulnerabilidades XSS de VMware permiten iny...
-
VS Code implementa un retraso de 2 horas en la act...
-
ChatGPT prepara su súper app de IA
-
Microsoft advierte que Claude Code GitHub Action p...
-
Cadena de RCE crítica en UniFi OS permite acceso r...
-
Google pagará millones a Elon Musk por sus centros...
-
Nueva herramienta EDRChoker bloquea procesos EDR m...
-
Lego recrea la Sagrada Familia con el set más gran...
-
ChatGPT lanza modo de seguridad contra robos de datos
-
Grave vulnerabilidad RCE de Redis permite control ...
-
AMD va a por los portátiles gaming sin NVIDIA: Med...
-
Nuevo grupo de amenazas OP-512 ataca servidores Mi...
-
Nuevo juego para SEGA Master System tras 30 años
-
Cómo separar tus dispositivos domóticos del resto ...
-
Nueva variante de Gafgyt ataca múltiples arquitect...
-
Nuevo ataque de Magecart convierte a Stripe en ser...
-
AMD EXPO Ultra Low Latency ya empieza a llegar a A...
-
Intel frena los rumores sobre sus GPU Arc: seguirá...
-
Publican paquete malicioso de Python que imita a P...
-
Microsoft corrige fallos críticos en Defender para...
-
Apps gratuitas convierten silenciosamente televiso...
-
AMD promete nuevas arquitecturas y procesadores Ze...
-
Usan herramientas confiables para desplegar malware
-
Apps gratuitas en Smart TVs Samsung y LG convierte...
-
Las mejores herramientas para ataques DDoS simulados
-
Google firma acuerdo de 920M mensuales con SpaceX;...
-
Un rayo quema un ordenador al haberse introducido ...
-
Error en un correo electrónico deja fuera a ciento...
-
Vulnerabilidad crítica en Hugging Face Transformer...
-
Gemini Go sustituye a Google Assistant en Android Go
-
IA detecta 21 vulnerabilidades zero-day en FFmpeg ...
-
Nueva filtración de datos de la Universidad de Oxf...
-
AMD se acerca peligrosamente a Intel en las estadí...
-
Guía de niveles de esfuerzo de Claude
-
IA provoca 40.000 despidos tecnológicos en EE UU
-
UE impulsa su soberanía digital e IA
-
Android: el spyware Asin ataca a usuarios árabes m...
-
OWASP CVE Lite CLI: nueva herramienta de escaneo d...
-
El socket Intel LGA1954 (Nova Lake-S) en el COMPUT...
-
Chrome impulsará el modo IA de Google
-
Se filtra la fecha de lanzamiento y especificacion...
-
Brave Origin: minimalista, premium y gratis para L...
-
PS6 y Project Helix: duelo de 4K y FPS
-
Google elimina Pixel Studio
-
ChatGPT ahora recuerda todo
-
AMD no descarta un Ryzen 5 9600X3D: llegaría a fin...
-
IA llega hasta los inodoros
-
Usan falsa página de Claude Code para distribuir i...
-
Meta instala tiendas en EE. UU. para servidores de...
-
AMD detalla FSR 4.1 para RDNA 3.5
-
Filtración de GPT-5.6: OpenAI prepara un salto masivo
-
Outlook permitió conexiones sin cifrar por décadas
-
Lian Li en el COMPUTEX 2026: chasis O11D EVO RGB V...
-
Apple cambia de CEO y de estrategia en gafas intel...
-
El Departamento de Justicia desmantela redes de fr...
-
Intel Wildcat Lake golpeará al Apple MacBook Neo: ...
-
Lenovo lanza Yoga Pro 9n
-
PS5 vs PC: ¿Qué gráfica equivale en Ray Tracing?
-
Router WiFi identifica personas con precisión total
-
El backdoor FlutterShell llega a macOS a través de...
-
GALAX presenta RTX 6090 HOF
-
AMD tuvo que rediseñar el Ryzen 7 5800X3D para tra...
-
Ransomware Payouts King evade EDR con ofuscación y...
-
Récord de despidos tecnológicos en EE. UU. en dos ...
-
Wi-Fi 6 GHz vs 5 GHz: guía completa
-
Fallo en la acción de GitHub de Claude Code permit...
-
Atacan cuenta de ejecutivo bursátil para robar cre...
-
Claude podría crear su propio sucesor
-
X59 de la NASA: Nueva York a Londres en 3 horas
-
Ataque a la cadena de suministro de npm: el malwar...
-
PCPJack secuestra 230 servidores de AWS, Google Cl...
-
Resultados del Mundial 2026 se verán en el cielo d...
-
HexStrike AI: Red Team con 127 herramientas e inte...
-
Campaña de robo de tarjetas de crédito utiliza Str...
-
Broadcom cae 315.000 millones por la IA
-
IA y láser crean sistema antimosquitos definitivo
-
Anthropic pide frenar la IA para evitar riesgos
-
Las notificaciones de WhatsApp y Slack podrían int...
-
Vulneran detector de habilidades maliciosas de Cla...
-
Claude Oceanus-v1-p de Anthropic abre pruebas de red
-
Agencia alimentaria de la ONU reporta filtración d...
-
Microsoft Surface Laptop 8 con Snapdragon X2: espe...
-
Vulnerabilidad en Microsoft Edge permite ejecución...
-
Microsoft lanza IA que supera a Claude Sonnet 4.6
-
DeepCool en COMPUTEX 2026: disipadores de aire, lí...
-
Let’s Encrypt lanza certificados Merkle Tree contr...
-
Arctic en COMPUTEX 2026: torre Xtender Mini, disip...
-
Apple busca aliados como Nvidia y Google para mejo...
-
Netflix usará IA para recomendar contenidos
-
Google paga a desarrolladores de Android para entr...
-
Mantenimiento rápido de Flatpak
-
Gemma 4 12B en PC con LM Studio
-
WWDC 2026: el reto de la IA para Apple
-
Cisco corrige vulnerabilidad CVE-2026-20230 en Uni...
-
Kit Phishing Kali365 se expande a Okta y MAX Messe...
-
Wayland domina Plasma 6.6 y desplaza a X11
-
EE. UU. sanciona al exchange de criptomonedas Nobi...
-
Thermaltake en COMPUTEX 2026: todas las novedades ...
-
Microsoft simplificará el menú de Windows 11
-
Vulnerabilidad 0-day en Comodo Internet Security p...
-
Explotan vulnerabilidad de plugin Everest Forms P...
-
Google liberará 32 millones de mosquitos
-
Aprende COBOL y hazte rico
-
Microsoft trae Coreutils de Linux a Windows
-
El grupo Gentlemen Ransomware usa exploits de Fort...
-
Nueva vulnerabilidad de Google Gemini explotada ví...
-
Prohibido volar drones en Madrid este fin de seman...
-
Phison SSD PCIe 5.0: una velocidad de hasta 14,9 G...
-
Robot militar con láser abate drones a 3 km
-
Robotaxis llegan a Madrid
-
-
▼
junio
(Total:
258
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
AMD rediseñó el Ryzen 7 5800X3D para su regreso a AM4, integrando una segunda generación de 3D V-Cache debido a complicaciones en la fabri... -
Steam Machine presenta señales de un lanzamiento cercano tras meses de rumores y retrasos en el nuevo hardware de Valve . -
Se ha revelado un nuevo exploit de denegación de servicio remoto llamado "HTTP/2 Bomb" , que afecta a las configuraciones predeter...
Nueva herramienta EDRChoker bloquea procesos EDR mediante QoS
Se ha lanzado EDRChoker, una nueva herramienta de código abierto para equipos rojos (*red teams*). Esta herramienta introduce una técnica innovadora para silenciar los agentes de detección y respuesta de endpoints (EDR) conectados a la nube.
En lugar de finalizar procesos o inyectar código, EDRChoker utiliza el motor nativo de Calidad de Servicio basada en Políticas (QoS) de Windows para reducir el ancho de banda de red de dichos agentes a niveles cercanos a cero, bloqueando así su comunicación.
Una herramienta de red team de código abierto recientemente lanzada llamada EDRChoker introduce una técnica novedosa para silenciar los agentes de Respuesta y Detección de Endpoints (EDR) conectados a la nube, no matando sus procesos ni inyectando código, sino asfixiando silenciosamente su ancho de banda de red hasta casi cero utilizando el motor nativo de Calidad de Servicio (QoS) basada en políticas de Windows.
Desarrollada por el investigador de seguridad @TwoSevenOneT, la herramienta aprovecha la Calidad de Servicio (QoS) basada en políticas de Windows para restringir los procesos EDR a un ancho de banda cercano a cero, aislándolos eficazmente de su infraestructura de mando.
Las plataformas EDR modernas dependen de una conexión persistente y de baja latencia entre el agente del endpoint y un servidor de gestión basado en la nube. Esa relación con el servidor es fundamental para la recopilación de telemetría, la correlación de amenazas y el control administrativo.
Herramienta EDRChoker
Corta esa conexión y el agente EDR efectivamente queda a oscuras, incapaz de informar detecciones, recibir políticas actualizadas o aceptar comandos remotos de los administradores. Esta dependencia arquitectónica es precisamente lo que explota EDRChoker.
Históricamente, los red teams han utilizado dos métodos principales para interrumpir las comunicaciones de los EDR: reglas del Firewall de Windows Defender y llamadas a la API de la Plataforma de Filtrado de Windows (WFP).
Herramientas como EDRSilencer utilizan la API FwpmFilterAdd0 para registrar filtros de red de salida que descartan selectivamente los paquetes del agente EDR.
La limitación crítica es que la visibilidad forense del bloqueo basado en WFP genera eventos de packet-block y packet-drop que las plataformas de seguridad como Elastic Defend detectan activamente mediante reglas de detección dedicadas, lanzando alertas inmediatas bajo la categoría de regla Evasión Potencial a través de Windows Filtering Platform.
New-NetQosPolicy -Name "EDRProcess_<GUID>" -AppPathNameMatchCondition "agent.exe" -ThrottleRateActionBitsPerSecond 8 -PolicyStore ActiveStoreA 8 bps, un saludo TLS estándar, que requiere entre 3 KB y 6 KB solo de datos de la cadena de certificados, se vuelve imposible de completar. El agente EDR agota el tiempo de espera continuamente antes de intercambiar un solo paquete, produciendo errores de conexión caída en lugar de eventos de bloqueo de firewall detectables.
La ventaja técnica de EDRChoker es arquitectónica. La restricción de QoS es ejecutada por pacer.sys, un controlador de filtro ligero NDIS que opera directamente sobre la NIC física — una capa debajo de WFP en la pila de red de Windows. El orden de la pila es importante:
- WFP se sitúa dentro de
tcpip.sysen la capa de Transporte. pacer.sysintercepta tramas Ethernet puras en el límite de NDIS, más cerca del hardware.- Debido a que opera en un nivel de privilegio más bajo en la pila, las reglas de
pacer.sysgobiernan paquetes que las herramientas de monitoreo EDR a nivel de WFP nunca alcanzan.
El investigador @TwoSevenOneT dijo que EDRChoker acepta un archivo de entrada con nombres de procesos EDR y genera automáticamente políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio por ejecución) para asegurar que no haya dos despliegues que produzcan firmas de reglas idénticas.
La herramienta, disponible en GitHub, opera en dos modos:
- Modo Remove (Eliminar) — Se ejecuta sin parámetros para purgar limpiamente todas las políticas de QoS instaladas.
- Modo Install (Instalar) — Acepta un archivo de entrada con nombres de procesos EDR y crea políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio) que sobreviven a los reinicios del sistema.
La técnica de EDRChoker subraya una realidad arquitectónica crítica: las herramientas EDR que dependen enteramente de la conectividad en la nube conllevan un punto único de falla inherente.
A medida que los atacantes descienden más profundamente en la pila de red de Windows para evadir la detección, tú como defensor debes extender el monitoreo con la misma profundidad o arriesgarte a operar a ciegas precisamente cuando más importa.
Fuentes:
https://cybersecuritynews.com/edrchoker-tool/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.