← all posts

2026-06-27 @pequepadawans redteam malware injection hollowing

Process Hollowing de RuntimeBroker.exe — notas

Process Hollowing de RuntimeBroker.exe

WIP

Esta técnica está planeada, no implementada. Las notas recogen el diseño.

Lorem ipsum dolor sit amet. La idea: en lugar de ejecutar el shellcode en update.exe, lo movemos a un proceso legítimo de Windows firmado por Microsoft.

Por qué RuntimeBroker

  • Firmado por Microsoft (no genera alerta de unsigned).
  • Medianamente común en sesiones interactivas (no es raro verlo).
  • Tiene un patrón de vida corto que enmascara la ejecución.

Flujo

sequenceDiagram
    participant L as update.exe
    participant W as RuntimeBroker.exe
    participant C as AdaptixServer
    L->>W: CreateProcess SUSPENDED
    L->>W: NtUnmapViewOfSection
    L->>W: VirtualAllocEx + WriteProcessMemory
    L->>W: SetThreadContext (RIP → entry)
    L->>W: ResumeThread
    W->>C: HTTPS 443 callback
    C-->>W: tasks

Issues abiertos

  • Mapear relocations correctamente
  • PPEB update con RtlCreateProcessParameters
  • Validar contra Elastic
Si rompe

Si el callback desaparece, el único sospechoso es hollowing. Es complejo y va solo, sin bundle.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Effort: high. Stealth gain: big.