La compañía Bitdefender ha identificado tres nuevas técnicas de ataque inéditas que aprovechan una funcionalidad legítima de la virtualización del sistema de archivos de Windows. Estas técnicas permiten evadir soluciones de detección y respuesta en endpoints (EDR) y mecanismos de seguridad integrados como AMSI, AppLocker, Windows Firewall y Sysmon.
La investigación de Bitdefender revela cómo los ciberdelincuentes pueden abusar de los denominados bind links, una característica utilizada de forma legítima por contenedores de Windows, aplicaciones de Microsoft Store y Windows Sandbox, para ocultar la actividad maliciosa a las herramientas de seguridad sin modificar un solo archivo en el disco.
Principales hallazgos de Bitdefender
· Bitdefender ha denominado estas nuevas técnicas File-Binding, Process-Binding y Silo-Binding, tres métodos diseñados para superar progresivamente las limitaciones de detección de la técnica anterior.
· Silo-Binding, la más avanzada de las tres técnicas, divide el sistema de archivos en dos vistas diferentes mediante aislamiento de contenedores de Windows. De este modo, el malware puede ejecutarse dentro de un entorno aislado mientras las herramientas de seguridad externas solo observan archivos legítimos y aparentemente inofensivos.

· Bitdefender ha validado estas técnicas en un entorno real, demostrando su capacidad para eludir defensas EDR mediante la ejecución de Invoke-Mimikatz, una conocida herramienta utilizada para el robo de credenciales.
Silo-Binding es la técnica más avanzada de las tres al dividir el sistema de archivos en dos vistas diferentes
Bitdefender notificó estos hallazgos a Microsoft. Aunque Microsoft clasificó estas técnicas como de baja gravedad debido a la necesidad de contar con privilegios administrativos previos, los investigadores de Bitdefender consideran que representan un riesgo mayor, ya que los atacantes disponen de múltiples métodos para obtener dichos privilegios en sistemas comprometidos, incluidas técnicas ampliamente utilizadas como BYOVD (Bring Your Own Vulnerable Driver). Esta investigación está disponible en la web de la compañía.




