Técnicas de evasión de malware moderno: survey 2024-2026

Contexto

Las técnicas de evasión evolucionan en respuesta a las defensas. Cada generación de EDR/AV genera una nueva generación de evasiones. Este artículo compila el estado del arte en evasión de malware entre 2024 y 2026, basándose en papers académicos, presentaciones en conferencias (DEF CON, Black Hat, Ekoparty) e investigaciones publicadas por equipos de threat research.

Taxonomía de técnicas de evasión

1. Userland hooking evasion

El problema: los EDR hookean funciones de ntdll.dll para monitorizar llamadas al sistema. Cuando malware llama a NtAllocateVirtualMemory, el EDR intercepta la llamada y la analiza.

Técnicas de evasión:

• Direct syscalls: saltar el hook llamando directamente al syscall number sin pasar por ntdll.dll
• Indirect syscalls: usar la instrucción syscall desde dentro de ntdll.dll pero con un syscall number diferente al esperado
• Unhooking: restaurar los bytes originales de ntdll.dll, eliminando los hooks del EDR
• Fresh copy: cargar una copia limpia de ntdll.dll desde disco y usar sus funciones en lugar de la hookeada

Estado 2026: los EDR modernos detectan unhooking y monitorizan la carga de copias de ntdll. Direct/indirect syscalls siguen siendo efectivos contra la mayoría de EDR.

2. AMSI bypass

El problema: AMSI (Antimalware Scan Interface) escanea scripts (PowerShell, .NET, VBA, JavaScript) antes de ejecutarse.

Técnicas de evasión:

• AmsiScanBuffer patching: modificar la función AmsiScanBuffer en memoria para que siempre retorne "clean"
• Obfuscación de payload: fragmentar y ofuscar el script para evadir firmas de AMSI
• CLR hooking: interceptar las llamadas a AMSI desde el Common Language Runtime
• amsi.dll reflection: usar reflection para modificar campos internos de AMSI

Estado 2026: Microsoft ha reforzado AMSI con protecciones adicionales, pero los bypasses siguen apareciendo porque AMSI opera en el mismo espacio de proceso que el malware.

3. ETW patching

El problema: ETW (Event Tracing for Windows) genera telemetría que los EDR consumen. Sin ETW, los EDR pierden visibilidad.

Técnicas de evasión:

• EtwEventWrite patching: parchear la función para que retorne sin escribir eventos
• Provider unregistration: des-registrar providers de ETW específicos
• Tracing session manipulation: modificar sesiones de tracing activas

Estado 2026: los EDR que dependen solo de ETW son vulnerables. Los mejores combinan ETW + kernel callbacks + minifilters para redundancia.

4. Sleep obfuscation

El problema: el malware duerme entre beacons C2. Durante el sleep, el payload está en memoria y es escaneable.

Técnicas de evasión:

• Foliage/Ekko: cifrar el payload en memoria durante el sleep, descifrar al despertar
• Stack spoofing: modificar el call stack durante el sleep para que parezca legítimo
• Timer-based: usar timers del kernel en lugar de Sleep() para evadir hooks en Sleep

Estado 2026: técnica activa y en evolución constante. Cada nuevo paper en DEF CON presenta variaciones.

5. Living-off-the-land (LOLBins)

El problema: los LOLBins son binarios legítimos de Windows usados con propósitos maliciosos. No hay firma de malware porque el binario es legítimo.

Ejemplos prevalentes 2024-2026:

• mshta.exe: ejecutar HTA con scripts maliciosos
• certutil.exe: descargar payloads desde URLs
• rundll32.exe: cargar DLLs maliciosas
• regsvr32.exe: ejecutar scriptlets COM
• wmic.exe: ejecución remota vía WMI
• msiexec.exe: instalar payloads como MSI

Estado 2026: LOLBAS project documenta 300+ binarios abusables. La detección requiere behavioral analysis, no firmas.

6. Process injection avanzado

Evolución 2024-2026:

• Module stomping: sobrescribir un módulo DLL legítimo en memoria con payload malicioso
• Phantom DLL hollowing: cargar un DLL legítimo, unmapear su contenido, reemplazar con payload
• Thread pool injection: inyectar via thread pool callbacks del kernel
• KernelCallbackTable injection: modificar la tabla de callbacks del kernel en PEB

Estado 2026: las técnicas de inyección son cada vez más sofisticadas. Sysmon y EDR cubren las clásicas (CreateRemoteThread), pero las nuevas requieren monitorización a nivel de kernel.

Implicaciones para defensores

Defensa en profundidad

Ninguna capa de detección es suficiente. La combinación de EDR userland hooks + kernel callbacks + ETW + network monitoring + memory scanning cubre más vectores de evasión que cualquier técnica individual.

Behavioral over signature

Las técnicas de evasión invalidan las detecciones basadas en firmas. La detección behavioral (qué hace el proceso, no qué es el proceso) es más resiliente a la evasión.

Threat emulation continuo

Usar frameworks como Atomic Red Team, Caldera o las propias herramientas de red team para verificar continuamente que tus detecciones funcionan contra las técnicas más recientes.

Papers y recursos clave

• "A Survey on Malware Evasion Techniques" (varios autores, 2024): survey académico completo
• "EDR Evasion Primer" (presentaciones DEF CON/Black Hat): técnicas operativas
• LOLBAS Project: lolbas-project.github.io
• Elastic Security Labs: publicaciones regulares sobre evasión y detección

Veredicto

Las técnicas de evasión son una carrera armamentística. Cada mejora en detección genera innovación en evasión. Para los defensores, la clave no es intentar bloquear cada técnica individual, sino construir capas de detección redundantes que obliguen al atacante a evadir múltiples mecanismos simultáneamente. Eso eleva el coste del ataque, que es el objetivo real de la defensa.