Trabajo como operador en BlackArrow, el Red Team de Tarlogic. Soy un entusiasta del desarrollo de malware y dedico gran parte de mi tiempo libre a la investigación, desarrollo de nuevas técnicas de hacking y el aprendizaje autodidacta.
La capacidad de inyectar código arbitrario en otro proceso del sistema sin ser detectado por los EDRs es fundamental a la hora de ejecutar un ejercicio de Red Team. En esta charla, se presentará un nuevo método de inyección de código “threadless” para equipos con sistema operativo Windows a través del secuestro de puntos de entrada de DLLs que rompe con los patrones habituales utilizados en la actualidad.
El continuo desarrollo del conocido como “juego del gato y el ratón” que lleva a desarrolladores de malware y de sistemas de EDR a competir entre ellos para intentar anular al otro ha permitido a los EDR mejorar enormemente sus capacidades a la hora de detectar la inyección de código en un proceso remoto. Parte de este éxito se debe a que la gran mayoría de técnicas de inyección de código en equipos con sistema operativo Windows siguen una misma secuencia de acciones conocida: alojamiento de memoria, escritura de payload y generación de un nuevo hilo para ejecutar el código malicioso, todo ello involucrando a un proceso origen y a un proceso destino.
A pesar de que existen numerosas maneras de llevar a cabo dichas acciones combinando una gran cantidad de funciones del API de Windows al final la lógica siempre es la misma, por lo que para poder evadir a los EDRs empiezan a surgir alternativas que intentan romper con esta tendencia.