Monitoreo y gestión de exclusiones de Windows Defender
Proteja sus endpoints detectando y respondiendo al abuso de exclusión antes de que se convierta en un punto ciego.
Microsoft Defender Antivirus es una capa de seguridad clave para las empresas, ya que protege los endpoints frente a amenazas conocidas y desconocidas. Sin embargo, cuando los ajustes de exclusión se manipulan de forma intencionada o no, pueden convertirse en una grave vulnerabilidad. Los atacantes suelen utilizar las exclusiones de Windows Defender para desactivar la detección de archivos, carpetas, tipos de archivos o procesos específicos, lo que permite que el malware funcione sin ser detectado.
Las organizaciones deben realizar el monitoreo de los cambios en la configuración de exclusión en tiempo real para detectar tácticas de evasión de la defensa y garantizar el cumplimiento de las políticas de seguridad.
Por qué es importante el abuso de la exclusión
Windows Defender permite a los administradores crear exclusiones para reducir los falsos positivos o los problemas de rendimiento. Aunque resulta útil en contextos legítimos, esta función suele utilizarse indebidamente en cadenas de ataques.
Entre los casos más habituales de uso incorrecto se incluyen:
- Añadir una ruta de exclusión para ocultar malware o scripts
- Excluir un proceso utilizado para descargar o ejecutar cargas útiles.
- Utilizar PowerShell o herramientas de línea de comandos para modificar silenciosamente los ajustes de Defender
- Modificar las claves del registro para eludir las protecciones integradas
Sin visibilidad de estos cambios, un atacante puede actuar sin ser detectado, incluso con Windows Defender ejecutándose en segundo plano.
Patrón de ataque en el mundo real
Un atacante con privilegios de administrador ejecuta el siguiente comando en un equipo comprometido:
Add-MpPreference -ExclusionPath "C:\Users\Public\payload"
Este comando configura Microsoft Defender para que ignore la carpeta especificada. Los archivos maliciosos que se coloquen allí no se analizarán ni bloquearán, lo que permitirá al atacante moverse lateralmente, implementar ransomware o robar datos sin generar la alarma.
Qué monitorear en la actividad de exclusión de Windows Defender:
Los cambios en la configuración de exclusión suelen indicar el inicio de una campaña de intrusión más amplia. El monitoreo y la alerta sobre los siguientes indicadores pueden ayudar a identificar posibles amenazas de forma temprana:
- Ejecución de comandos de PowerShell como Add-MpPreference o Set-MpPreference.
- Cambios en el Registro de las claves de configuración de Windows Defender
- Patrones de acceso inusuales a directorios excluidos
- Aumento repentino de la actividad de exclusión desde endpoints o cuentas de usuario.
Las organizaciones que dependen de Windows Defender deben considerar el monitoreo de exclusiones como una parte fundamental de su estrategia de detección y respuesta en los endpoints.
Cómo detecta Log360 el uso indebido de las exclusiones de Windows Defender:
Log360 utiliza reglas de correlación predefinidas para detectar el uso sospechoso de comandos de exclusión de Windows Defender, como Add-MpPreference y Set-MpPreference.
Lógica de detección:
("Command line" contiene "Add-MpPreference" O "Set-MpPreference") Y
("El usuario no pertenece al grupo de administradores de seguridad" O "Ejecución fuera del horario laboral")
Esta regla se activa cuando usuarios no autorizados ejecutan comandos de exclusión o cuando estos se ejecutan en momentos inusuales, dos indicadores de un posible uso indebido. Log360 correlaciona esta actividad con el comportamiento de los endpoints para detectar amenazas reales, como malware oculto en directorios excluidos o abuso de privilegios.
Al contextualizar estos eventos, Log360 ayuda a los equipos de seguridad a detectar y responder en tiempo real a los intentos de debilitar la protección de Windows Defender.
Para obtener más información sobre cómo funciona esta regla, visite esta página.