Se ha documentado una nueva metodología avanzada para eludir las defensas antivirus de Microsoft Windows Defender, la cual integra invocaciones directas al sistema con técnicas de cifrado XOR.
Una investigación reciente ha revelado vulnerabilidades significativas en esta solución de seguridad ampliamente utilizada, que viene preinstalada con cada instancia del sistema operativo Windows.
Esta técnica novedosa se basa en la arquitectura subyacente del sistema operativo Windows, explotando la distinción entre las operaciones en modo de usuario (Anillo 3) y modo kernel (Anillo 0).
Al eludir el flujo de ejecución tradicional de Windows, los atacantes pueden ejecutar código malicioso sin activar mecanismos defensivos.
Según la investigación publicada por Hackmosphere, la técnica funciona evitando la ruta de ejecución convencional donde las aplicaciones llaman a funciones API de Windows a través de bibliotecas como kernel32.dll, que luego reenvía solicitudes a ntdll.dll antes de realizar la llamada real del sistema al kernel.
En cambio, los atacantes ejecutan directamente la instrucción syscall con el número de syscall apropiado, omitiendo cualquier monitoreo de seguridad en el nivel del modo de usuario.
Los investigadores reforzaron aún más este ataque implementando el cifrado XOR para ofuscar códigos shell maliciosos. Esta técnica criptográfica simple pero efectiva transforma el código malicioso en una forma irreconocible que evade la detección basada en firmas.
El cifrado XOR funciona según el principio de XOR bit a bit, donde cada bit del código de texto sin formato se combina con un bit correspondiente de una clave secreta.
Cuando la carga útil está lista para ejecutarse, se descifra en la memoria, sin dejar rastro en el disco para que las soluciones antivirus la detecten.
En las pruebas, los investigadores crearon una carga útil de shell inverso de Meterpreter utilizando msfvenom, la cifraron con XOR y la ejecutaron mediante llamadas directas al sistema.
El ataque logró eludir por completo las últimas protecciones de Windows Defender sin escribir ningún artefacto malicioso en el disco.
Aún más preocupante, los investigadores señalaron que esta técnica ha sido viable desde al menos 2022 con varias modificaciones y continúa funcionando en 2025 con las últimas actualizaciones de Windows Defender.
Microsoft ha abordado anteriormente técnicas de derivación similares, afirmando que tienen una “aplicabilidad práctica limitada”, ya que a menudo requieren la interacción del usuario para ejecutarse.
Sin embargo, los expertos en seguridad no están de acuerdo y señalan que tales técnicas podrían incorporarse fácilmente a cadenas de ataque más amplias.
Los investigadores recomiendan que Microsoft implemente el monitoreo a nivel de kernel de las llamadas al sistema en lugar de depender únicamente de enlaces en modo de usuario.
También sugieren que las organizaciones implementen capas de seguridad adicionales más allá de Windows Defender, en particular soluciones que puedan monitorear el comportamiento a nivel del kernel.
Por ahora, se recomienda a los equipos de seguridad que implementen listas blancas de aplicaciones y restrinjan los privilegios administrativos para mitigar el riesgo de estas sofisticadas técnicas de elusión.
