SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

17 jun 2026

Segu-Info » , , , » EDRChoker: bloquea los procesos del EDR mediante QoS

EDRChoker: bloquea los procesos del EDR mediante QoS

17 jun 2026, 9:14:00 a.m.   Comenta primero!
  , , ,  

Una nueva herramienta de código abierto para pruebas de penetración, llamada EDRChoker, introduce una técnica innovadora para silenciar agentes de detección y respuesta de endpoints (EDR) conectados a la nube, no mediante la eliminación de sus procesos ni la inyección de código, sino reduciendo silenciosamente su ancho de banda de red a casi cero utilizando el motor de calidad de servicio (QoS) basado en políticas nativo de Windows.

Desarrollada por el investigador de seguridad @TwoSevenOneT, la herramienta aprovecha la calidad de servicio (QoS) basada en políticas de Windows para limitar el ancho de banda de los procesos EDR a casi cero, aislándolos eficazmente de su infraestructura de comandos.

Las plataformas EDR modernas dependen de una conexión persistente y de baja latencia entre el agente de endpoint y un servidor de administración en la nube. Esta relación con el servidor es fundamental para la recopilación de telemetría, la correlación de amenazas y el control administrativo.

Herramienta EDRChoker

Al interrumpir esta conexión, el agente EDR queda inactivo, incapaz de informar sobre detecciones, recibir políticas actualizadas o aceptar comandos remotos de los administradores. Esta dependencia arquitectónica es precisamente lo que EDRChoker aprovecha.

Históricamente, los equipos rojos han utilizado dos métodos principales para interrumpir las comunicaciones EDR: las reglas del Firewall de Windows Defender y las llamadas a la API de la Plataforma de Filtrado de Windows (WFP).

Herramientas como EDRSilencer utilizan la API FwpmFilterAdd0 para registrar filtros de red salientes que descartan selectivamente los paquetes del agente EDR.

La limitación crítica es que el bloqueo basado en WFP, con visibilidad forense, genera eventos de bloqueo y descarte de paquetes que las plataformas de seguridad como Elastic Defend detectan activamente mediante reglas de detección específicas, lo que genera alertas inmediatas en la categoría de reglas de Evasión Potencial mediante la Plataforma de Filtrado de Windows. 

New-NetQosPolicy -Name "EDRProcess_" -AppPathNameMatchCondition "agent.exe"
-ThrottleRateActionBitsPerSecond 8 -PolicyStore ActiveStore

A 8 bps, un protocolo de enlace TLS estándar, que requiere entre 3 KB y 6 KB de datos de la cadena de certificados, se vuelve imposible de completar. El agente EDR agota continuamente el tiempo de espera antes de intercambiar un solo paquete, lo que produce errores de conexión interrumpida en lugar de eventos de bloqueo del firewall detectables.

La ventaja técnica de EDRChoker es arquitectónica. La limitación de QoS se aplica mediante pacer.sys, un controlador de filtro ligero NDIS que opera directamente sobre la NIC física, una capa por debajo de WFP en la pila de red de Windows. El orden de la pila es importante:

  • WFP se ubica dentro de tcpip.sys en la capa de transporte.
  • pacer.sys intercepta tramas Ethernet sin procesar en el límite de NDIS, más cerca del hardware.
  • Debido a que opera en un nivel de privilegio inferior en la pila, las reglas de pacer.sys rigen paquetes a los que las herramientas de monitorización EDR de nivel WFP nunca llegan.

El investigador @TwoSevenOneT afirmó que EDRChoker acepta un archivo de entrada con los nombres de los procesos EDR y genera automáticamente políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio por ejecución) para garantizar que no haya dos implementaciones que produzcan firmas de reglas idénticas.

La herramienta, disponible en GitHub, funciona en dos modos:

  • Modo de eliminación: Se ejecuta sin parámetros para eliminar por completo todas las políticas de QoS instaladas.
  • Modo de instalación: Acepta un archivo de entrada con los nombres de los procesos EDR y crea políticas de QoS con nombres únicos (nombre del proceso + GUID aleatorio) que se mantienen incluso después de reiniciar el sistema.

A principios de enero, el investigador también demostró EDRStartupHinder, que impide que se inicie un programa EDR. EDRStartupHinder pretende explotar la vulnerabilidad Bindlink de Windows para redirigir una DLL de System32 a otra ubicación, además de aprovechar la función que solo carga DLL firmadas por un programa protegido con Protected Process Light (PPL) para evitar que se inicien los servicios AV/EDR", explicó el investigador.

Otra técnica ideada por Binary Defense consiste en deshabilitar servicios de seguridad críticos, como Windows Defender y Sysmon, sin activar las alertas de malware tradicionales. Modifica las Listas de Control de Acceso (ACL) de Windows para agregar Entradas de Control de Acceso (ACE) de "Denegar" contra bibliotecas esenciales del sistema como "kernel32.dll". Dado que estos servicios dependen de la DLL para funcionar, se rompe la cadena de dependencias. Al reiniciar el sistema, los servicios protegidos no se inician, dejando el equipo sin ninguna defensa.

La técnica EDRChoker pone de manifiesto una realidad arquitectónica crucial: las herramientas EDR que dependen totalmente de la conectividad en la nube presentan un punto único de fallo inherente.

A medida que los atacantes profundizan en la pila de red de Windows para evadir la detección, los defensores deben extender la monitorización al mismo nivel o corren el riesgo de operar a ciegas precisamente cuando más importa.

Fuente: CyberSecurityNews



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!