Evasión de Defensas
¿Qué es Evasión de Defensas?
Evasión de DefensasTáctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
Evasión de Defensas (táctica MITRE ATT&CK TA0005) agrupa técnicas pensadas para esquivar, cegar o engañar a los controles de seguridad. Es una de las tácticas más amplias de la matriz e incluye payloads ofuscados o cifrados, inyección de procesos, DLL side-loading, ejecución a través de binarios firmados (LOLBins), desactivación o desinstalación de EDR/AV, borrado de logs de eventos, suplantación de procesos legítimos, abuso de directorios de confianza y uso de rootkits o ataques BYOVD (Bring Your Own Vulnerable Driver). Suele entrelazarse con otras tácticas a lo largo de la intrusión. Los defensores la contrarrestan con telemetría a nivel de kernel, protección anti-tampering del EDR, logging inmutable, inventario de binarios firmados y detecciones de comportamiento centradas en intención y cadenas de actividad.
● Ejemplos
- 01
Cargar un driver firmado vulnerable para desactivar un EDR desde modo kernel.
- 02
Renombrar un ejecutable malicioso como svchost.exe y colocarlo en C:\Windows\.
● Preguntas frecuentes
¿Qué es Evasión de Defensas?
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Evasión de Defensas?
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
¿Cómo funciona Evasión de Defensas?
Evasión de Defensas (táctica MITRE ATT&CK TA0005) agrupa técnicas pensadas para esquivar, cegar o engañar a los controles de seguridad. Es una de las tácticas más amplias de la matriz e incluye payloads ofuscados o cifrados, inyección de procesos, DLL side-loading, ejecución a través de binarios firmados (LOLBins), desactivación o desinstalación de EDR/AV, borrado de logs de eventos, suplantación de procesos legítimos, abuso de directorios de confianza y uso de rootkits o ataques BYOVD (Bring Your Own Vulnerable Driver). Suele entrelazarse con otras tácticas a lo largo de la intrusión. Los defensores la contrarrestan con telemetría a nivel de kernel, protección anti-tampering del EDR, logging inmutable, inventario de binarios firmados y detecciones de comportamiento centradas en intención y cadenas de actividad.
¿Cómo defenderse de Evasión de Defensas?
Las defensas contra Evasión de Defensas combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Evasión de Defensas?
Nombres alternativos comunes: Evasión defensiva, TA0005.
● Términos relacionados
- compliance№ 687
MITRE ATT&CK
Base de conocimiento global y abierta de tácticas y técnicas de adversarios observadas en ataques reales, mantenida por MITRE.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- malware№ 949
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- forensics-ir№ 049
Antiforense
Técnicas empleadas por atacantes o actores preocupados por la privacidad para obstaculizar, retrasar o frustrar las investigaciones forenses digitales.
- defense-ops№ 265
Cyber Kill Chain
Modelo de siete fases de Lockheed Martin que describe cómo progresa una intrusión dirigida desde el reconocimiento hasta las acciones sobre los objetivos.
● Véase también
- № 397Ejecución (Táctica MITRE)
- № 817Persistencia
- № 616Living off the Land
- № 632LOLBin / LOLBAS
- № 332Inyeccion de DLL
- № 862Inyeccion de procesos
- № 045Bypass de AMSI
- № 055Allowlisting de Aplicaciones