Seguir 
Resumen
El artículo examina cómo los atacantes utilizan técnicas de Trae Tu Propio Controlador Vulnerable para obtener acceso a nivel del núcleo y desactivar o eliminar herramientas de protección de endpoints como antivirus y plataformas EDR. Describe varias tácticas comunes, incluyendo el abuso de reglas de firewall, el mal uso de controladores firmados pero vulnerables, y la dependencia de herramientas de acceso remoto para mantener persistencia mientras se debilita la visibilidad de seguridad. Los casos del mundo real muestran cómo las credenciales robadas de VPN, la publicidad maliciosa y los controladores legítimos con fallas conocidas pueden usarse para terminar procesos de seguridad. La preocupación central es la creciente amenaza de ataques a nivel del núcleo que crean un punto ciego donde los adversarios pueden operar con detección reducida.
Investigación
Huntress documentó incidentes a principios de 2026 en los que los atacantes usaron credenciales de VPN de SonicWall robadas para desplegar un binario EDR-killer personalizado que abusaba de un controlador forense EnCase revocado. En un caso posterior, un anuncio malicioso llevó a la instalación de ScreenConnect, después de lo cual se usó un controlador de audio Huawei vulnerable para terminar servicios de seguridad. A lo largo de estas investigaciones, Huntress observó abuso repetido de controladores, ciclos de terminación de procesos y el uso de controladores firmados de confianza para evadir la detección estática básica.
Mitigación
Las defensas recomendadas incluyen detectar el abuso en tiempo real de controladores vulnerables, monitorear cambios inesperados en las reglas de firewall y reforzar los controles estrictos sobre la firma y carga de controladores. Huntress también introdujo detecciones para el abuso del controlador TrueSight y la limpieza automatizada de reglas de firewall maliciosas. La protección adicional puede provenir de características de protección contra manipulaciones y un control más estricto sobre las exclusiones para dificultar que los atacantes detengan o desinstalen herramientas EDR.
Respuesta
Si se detecta esta actividad, aísle inmediatamente el sistema afectado, revierta cualquier cambio no autorizado en el firewall, descargue o bloquee el controlador malicioso, y reinstale o repare los agentes EDR o antivirus afectados. Los equipos de seguridad deben luego realizar un análisis forense para descubrir cualquier mecanismo de persistencia añadido o credenciales robadas y rotar cuentas privilegiadas, como las credenciales de VPN.
graph TB classDef action fill:#99ccff action_valid_accounts[«<b>Acción</b> – <b>T1078 Cuentas válidas</b><br/><b>Descripción</b>: Uso de credenciales comprometidas para obtener acceso autorizado.<br/><b>Detalles</b>: Credenciales VPN de SonicWall comprometidas»] class action_valid_accounts action action_priv_esc[«<b>Acción</b> – <b>T1068 Explotación para escalada de privilegios</b><br/><b>Descripción</b>: Explotar un controlador firmado vulnerable para elevar privilegios.<br/><b>Detalles</b>: BYOVD usando controlador vulnerable de EnCase»] class action_priv_esc action action_impair_defenses[«<b>Acción</b> – <b>T1562 Impedir defensas</b><br/><b>Descripción</b>: Desinstalar o deshabilitar agentes de seguridad y terminar procesos relacionados»] class action_impair_defenses action action_disable_firewall[«<b>Acción</b> – <b>T1562.004 Deshabilitar o modificar firewall del sistema</b><br/><b>Descripción</b>: Crear reglas de firewall ocultas para bloquear comunicaciones EDR»] class action_disable_firewall action action_service_stop[«<b>Acción</b> – <b>T1489 Detención de servicios</b><br/><b>Descripción</b>: Terminar repetidamente servicios de seguridad»] class action_service_stop action action_valid_accounts –>|lleva_a| action_priv_esc action_priv_esc –>|lleva_a| action_impair_defenses action_impair_defenses –>|lleva_a| action_disable_firewall action_impair_defenses –>|lleva_a| action_service_stop
Flujo de Ataque
Detecciones
Se Cargó un Controlador con Estado de Firma Sospechoso (a través de sysmon)
Ver
Modificación Sospechosa de Exclusiones del Defensor (a través de línea de comandos)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (a través de powershell)
Ver
Detección de la Táctica de Trae Tu Propio Controlador Vulnerable (BYOVD) [Carga de Imagen de Windows]
Ver
Detección de Reglas de Firewall Maliciosas de Windows que Bloquean Comunicaciones EDR [Firewall de Windows]
Ver
Ejecución de Simulación
Requisito Previo: La Verificación de Pre‑Vuelo de Telemetría y Línea Base debe haber pasado.
Narrativa de Ataque y Comandos
El adversario tiene como objetivo desactivar la telemetría EDR de la organización insertando una regla de firewall que bloquee todo el tráfico saliente a los endpoints en la nube EDR conocidos. Para aumentar la posibilidad de detección, el nombre de la regla menciona explícitamente “EDR”. Los pasos son:
- Enumerar endpoints EDR conocidos (codificados para la demo).
- Crear una regla de bloqueo saliente llamada “Bloquear Comunicaciones EDR”.
- Verificar que la regla esté activa y que el tráfico saliente a los dominios EDR sea bloqueado.
- Observar la generación del EventID 2004 con el nombre de regla maliciosa, lo que debería activar la regla Sigma.
Script de Prueba de Regresión
# -------------------------------------------------
# Script de Simulación – Crear Regla de Firewall Maliciosa
# -------------------------------------------------
# 1. Definir lista de endpoints EDR (ejemplo)
$edrEndpoints = @("edr.contoso.com","logs.edr.contoso.net")
# 2. Crear una regla de bloqueo saliente para cada endpoint
foreach ($host in $edrEndpoints) {
$ruleName = "Bloquear Comunicaciones EDR - $host"
New-NetFirewallRule `
-DisplayName $ruleName `
-Direction Outbound `
-RemoteAddress $host `
-Action Block `
-Profile Any `
-Enabled True `
-Protocol Any
Write-Host "Regla creada: $ruleName"
}
# 3. Generar salida de la lista de reglas recientemente creadas para verificación
Get-NetFirewallRule -DisplayName "*Bloquear Comunicaciones EDR*"Comandos de Limpieza
# -------------------------------------------------
# Script de Limpieza – Eliminar Reglas de Firewall Maliciosas
# -------------------------------------------------
Get-NetFirewallRule -DisplayName "*Bloquear Comunicaciones EDR*" | Remove-NetFirewallRule -Confirm:$false
Write-Host "Todas las reglas de bloqueo EDR maliciosas eliminadas."