Del user-mode al kernel: guía técnica completa
Windows es la plataforma más atacada del mundo. Más del 90% del malware en circulación está diseñado para Windows. Esta serie cubre las técnicas que usa el malware para ejecutarse, persistir, escalar privilegios, evadir defensas y lograr sus objetivos en entornos Windows.
Bloque 1: Fundamentos (artículos 1-5) Formato PE, inyección de código, APIs de Windows usadas por malware, persistencia en el registro.
Bloque 2: Técnicas avanzadas (artículos 6-10) Persistencia avanzada, fileless malware, evasión de antivirus, bypass de AMSI.
Bloque 3: Detección y análisis (artículos 11-15) ETW, Sysmon, Windows Defender internals, análisis de .NET malware, macros maliciosas.
Bloque 4: Nivel experto (artículos 16-20) Cobalt Strike, BYOVD, kernel exploitation, EDR internals, credential dumping.
Cada artículo incluye análisis técnico con código, mapeo a MITRE ATT&CK, indicadores de detección y referencias a fuentes primarias. Nivel progresivo de intermedio a avanzado.
Guía técnica completa del formato PE (Portable Executable) de Windows desde la perspectiva del análisis de malware. Headers, secciones, imports, exports, relocations, resources y cómo el malware manipula cada componente.
Análisis técnico completo de las técnicas de inyección de DLL en Windows. Classic injection, reflective loading, DLL side-loading, DLL hollowing y las estrategias de detección para cada variante. Con pseudocódigo, mapeo ATT&CK y reglas de detección.
Análisis técnico de process hollowing (RunPE) y process doppelgänging. Cómo el malware crea procesos legítimos y reemplaza su contenido con código malicioso. Variantes modernas, detección con Sysmon/EDR y comparativa de técnicas de suplantación.
Catálogo completo de las Windows APIs más usadas por malware, organizadas por comportamiento: inyección de código, persistencia, evasión, exfiltración, cifrado, keylogging y comunicación C2. Cada API con su DLL, descripción y nivel de sospecha.
Guía completa de técnicas de persistencia via registro de Windows usadas por malware. Run keys, Services, AppInit_DLLs, Image File Execution Options, COM hijacking, y las estrategias de detección para cada técnica con Sysmon, Autoruns y reglas Sigma.
Análisis técnico de persistencia avanzada en Windows via Scheduled Tasks y COM Hijacking. Creación programática de tareas, abuso de Task Scheduler COM, hijacking de objetos COM para ejecución sigilosa, y estrategias de detección con Sysmon y ETW.
Análisis técnico de Windows Management Instrumentation (WMI) como herramienta ofensiva. Ejecución remota, persistencia via Event Subscriptions, reconocimiento de red, movimiento lateral y estrategias de detección con Sysmon y ETW.
Análisis técnico de malware fileless en Windows. Ejecución en memoria sin tocar disco via PowerShell, .NET reflection, WMI y LOLBins. Técnicas, ejemplos reales, cadenas de infección y estrategias de detección con AMSI, ETW y EDR.
Análisis técnico de técnicas de evasión de antivirus en Windows. Packers (UPX, Themida, VMProtect), crypters, ofuscación de código, polimorfismo, metamorfismo y cómo los analistas identifican y deshacen estas protecciones.
Análisis técnico de AMSI (Antimalware Scan Interface) en Windows: arquitectura interna, técnicas de bypass usadas por malware (memory patching, reflection, COM hijacking, string obfuscation) y contramedidas defensivas para detectar y prevenir la evasión.
Guía técnica de Event Tracing for Windows (ETW) aplicado a detección de malware. Providers clave, cómo los EDR usan ETW, técnicas de evasión de ETW por malware avanzado, y configuración práctica para threat hunting.
Guía práctica de Sysmon para detección de malware. Configuración optimizada por Event ID, filtros para reducir ruido, integración con SIEM, reglas de detección para las técnicas más comunes y workflows de threat hunting con Sysmon.
Análisis técnico de los internals de Windows Defender (Microsoft Defender Antivirus). Motor de escaneo, AMSI, cloud protection, tamper protection, ASR rules, y las técnicas de bypass que usa el malware. Perspectiva defensiva para hardening.
Guía práctica de análisis de malware .NET. Uso de dnSpy para decompilación y debugging, de4dot para deobfuscación, análisis de RATs como Agent Tesla y AsyncRAT, y técnicas de identificación de obfuscadores .NET (ConfuserEx, SmartAssembly, Babel).
Análisis de macros maliciosas en documentos Office. Técnicas VBA, ofuscación, análisis estático con olevba/oletools, el bloqueo de macros por defecto en Office 2022+ y las alternativas que adoptó el malware (ISO, LNK, OneNote, HTML smuggling).
Análisis técnico de Cobalt Strike desde la perspectiva defensiva. Beacons, Malleable C2 profiles, execute-assembly, named pipes, detección de beacons en memoria y red, y por qué sigue siendo el framework C2 dominante en ataques de ransomware y APTs.
Análisis técnico de la técnica BYOVD (Bring Your Own Vulnerable Driver). Cómo el malware usa drivers firmados vulnerables para obtener acceso al kernel y desactivar EDR. Drivers más abusados, detección con driver blocklists, HVCI, y Sysmon.
Introducción a la explotación del kernel de Windows desde la perspectiva del analista de malware. Arquitectura del kernel, tipos de vulnerabilidades (UAF, overflow, type confusion), mitigaciones (SMEP, SMAP, kCFG, VBS), y cómo analizar exploits de kernel en muestras reales.
Análisis técnico de la arquitectura interna de los EDR modernos. User-mode hooks, kernel callbacks, ETW consumers, minifilters, y las técnicas de evasión que usa el malware: unhooking, direct syscalls, BYOVD, callback removal. Perspectiva ofensiva y defensiva.
Guía técnica completa de técnicas de credential dumping en Windows. LSASS dump (Mimikatz, procdump, comsvcs.dll), SAM database extraction, DPAPI secrets, Kerberos attacks (Kerberoasting, Golden Ticket), DCSync, y las defensas específicas para cada técnica.