Los piratas informáticos desactivaron Defender, Sysmon y WAF antes de usar Mimikatz para volcar credenciales

Un actor de amenazas deshabilitó las protecciones de Microsoft Defender, eliminó las herramientas de registro, eliminó un firewall de aplicaciones web y debilitó las protecciones de credenciales de Windows antes de utilizar herramientas relacionadas con Mimikatz en un reciente compromiso de servidor.

El incidente, detallado en unAnálisis de la cazadorapublicado el 29 de junio de 2026, comenzó el 7 de junio con actividad de enumeración sospechosa en un servidor web comprometido. La actividad se generó a partir de w3wp.exe, el proceso de trabajo de IIS que normalmente se utiliza para manejar solicitudes web.

Más tarde, los investigadores encontraron un webshell ASPX esteganográfico escondido en un directorio destinado a imágenes. El atacante regresó después de una reparación incompleta, reconstruyó el acceso y luego lanzó un esfuerzo mucho más amplio para cegar a los defensores antes del robo de credenciales.

Los atacantes intentaron cegar primero a los equipos de seguridad

La parte más importante del ataque fue el orden de las operaciones. El atacante no pasó inmediatamente a realizar un volcado de credenciales. Primero intentaron romper los sistemas que registrarían, detectarían o bloquearían la siguiente etapa.

MITRE ATT&CK clasifica este tipo de actividad enDeshabilitar o modificar herramientas, una técnica de deterioro de la defensa en la que los adversarios manipulan antivirus, agentes de registro, herramientas EDR, sensores o archivos de configuración para reducir la visibilidad.

Huntress dijo que el atacante dejó un archivo por lotes llamado i.bat, que expuso el flujo de trabajo de deterioro de la defensa. El script tenía como objetivo el registro de IIS, Microsoft Defender, Sysmon, Filebeat, herramientas de seguridad de endpoints, configuraciones de WDigest, ModSecurity y registros de eventos de Windows.

EscenarioQué pasóPor qué importaba
Acceso inicialApareció un webshell en un servidor web vulnerableLe dio al atacante una forma de ejecutar comandos a través de IIS.
ReconocimientoEl atacante enumeró usuarios, software y detalles del sistema.Ayudó a identificar cuentas, herramientas y posibles caminos de expansión.
Deterioro de la defensaSe atacaron Defender, Sysmon, Filebeat, protección WAF y registros de eventosRedujo el seguimiento y dificultó la investigación de la actividad posterior.
Acceso a credencialesSe utilizaron componentes relacionados con Mimikatz y herramientas de volcado de credenciales.Creó un riesgo de robo de contraseñas, hash y cuentas.
LimpiezaSe eliminaron archivos, claves de registro y registros de eventos.Intentó eliminar pruebas forenses.

Defender, Sysmon y Filebeat fueron el objetivo

El atacante utilizó scripts y herramientas de administración de Windows para debilitar la configuración de Microsoft Defender. Microsoft dice queEstablecer-MpPreferenceEl cmdlet configura las preferencias de análisis y actualización de Defender, incluidas exclusiones y otras configuraciones de seguridad.

El guión también apuntabasismon, la herramienta de monitoreo del sistema de Microsoft que registra la creación de procesos, conexiones de red, carga de controladores, cambios de marcas de tiempo de archivos y otras actividades en el Registro de eventos de Windows.

Al eliminar o eliminar herramientas como Sysmon y Filebeat, el atacante redujo la posibilidad de que los defensores vieran posteriormente el volcado de credenciales y la actividad de limpieza. El mismo script también apuntaba a productos de seguridad y servicios de monitoreo de varios proveedores.

  • Protecciones de Microsoft Defender deshabilitadas o debilitadas
  • Se crearon exclusiones de Defender para rutas y tipos de archivos controlados por atacantes.
  • Procesos Sysmon y Filebeat eliminados
  • Servicios de seguridad y registro detenidos o eliminados
  • Se utilizó la configuración del depurador para congelar las herramientas seleccionadas.
  • Se borraron los registros de eventos de seguridad, sistema, aplicaciones y configuración.

El atacante eliminó la protección WAF de IIS

La campaña también se centró en ModSecurity en IIS. OWASP describe uncortafuegos de aplicaciones webcomo una capa protectora para aplicaciones HTTP que utiliza reglas para ayudar a detectar o bloquear ataques como la inyección SQL y secuencias de comandos entre sitios.

Según Huntress, el atacante enumeró sitios IIS y directorios virtuales antes de desinstalar el módulo ModSecurity IIS. Eso dejó al servidor más expuesto a ataques web posteriores, especialmente si la aplicación subyacente no había sido parcheada por completo.

Esto es importante porque un compromiso de webshell a menudo crea más de un problema. Eliminar el WAF puede hacer que sea más fácil volver a atacar a un servidor vulnerable mientras los defensores todavía están intentando limpiar la primera intrusión.

La rebaja de WDigest aumentó el riesgo de robo de credenciales

Después de deshabilitar las defensas, el atacante debilitó las protecciones de credenciales de Windows modificando el comportamiento de WDigest. MicrosoftGuía de WDigestexplica que el valor de registro UseLogonCredential controla si WDigest almacena las credenciales en la memoria.

Ese cambio preparó el escenario para el abandono de credenciales. MITRE rastrea esta actividad comoVuelco de credenciales del sistema operativo, donde los adversarios intentan obtener inicios de sesión de cuentas, hashes o contraseñas de texto sin cifrar de la memoria del sistema operativo, cachés u otros almacenes de credenciales.

El atacante también extrajo del registro material de credenciales relacionado con ODBC y utilizó herramientas que escribieron datos robados en archivos de salida. Huntress dijo que la actividad involucró un controlador del kernel Mimikatz antes de que el atacante intentara eliminar la evidencia.

Control dirigidoPapel en el medio ambienteRiesgo cuando está deteriorado
Microsoft defensorPrevención y detección de malware en endpointsLos scripts y herramientas maliciosos pueden ejecutarse con menos alertas
sismonTelemetría detallada de Windows y registro de eventosLa actividad de procesos, redes y archivos se vuelve más difícil de rastrear
archivoReenvío de registros a plataformas de análisisLa visibilidad centralizada puede romperse durante el ataque.
ModSeguridad WAFFiltrado de ataques HTTP para aplicaciones webLas aplicaciones web enfrentan una mayor exposición a patrones de ataque comunes
WDigestComportamiento de autenticación de WindowsUna mala configuración puede aumentar la posibilidad de que las credenciales queden expuestas en texto plano

Webshell se escondió dentro de un directorio de imágenes

El primer archivo sospechoso, UA4fp7R.aspx, apareció en un directorio de imágenes raíz web. Huntress dijo que el archivo utilizaba esteganografía, lo que permitía que la carga útil apareciera como una imagen sin dejar de contener contenido ejecutable de webshell.

El informe también señaló una cadena de marcador, ONEPIECE, incrustada en webshells relacionados. Ese marcador puede ayudar a los defensores a identificar archivos relacionados durante búsquedas en servidores web, copias de seguridad y registros de monitoreo de integridad de archivos.

El atacante regresó más de una vez después de que comenzó la actividad de respuesta. Esto demostró por qué los equipos de respuesta a incidentes deberían evitar reconectar o restaurar un servidor vulnerable antes de aplicar parches, contención, revisión forense y finalización del refuerzo.

Indicadores de compromiso

Los siguientes indicadores provienen de laIndicadores de cazadorapublicado con el informe del incidente. Los equipos de seguridad deben buscar artefactos coincidentes en los puntos finales, las raíces web, la telemetría EDR, las plataformas de registro y las copias de seguridad.

TipoIndicadorDescripción
SHA-256bd74a00f4d2ec3bf50d13ddf324bb368b2464d547abd0c572ef5e2f77943a920Shell web esteganográfico, UA4fp7R.aspx
SHA-25640859ede262098086962ab00c89f02452aa9941c88c7f4ac002db166179980c6Shell web esteganográfico, 03Fl3i.aspx
SHA-256f63d293e117cae1d0a6c24359fc1361a9dc48178049cc6491051b09268c8c39cShell web esteganográfico, WRBYTR5750images.aspx y MRBTPS5754images.aspx
SHA-25694cd18f3f030fcc9b259dc410b17ea72a1f9800ee654f8e0f07a87bb9443b593Archivo por lotes de enumeración y evasión de defensa, i.bat
SHA-256793768ce4fadab044c7502ea5ec4d8e1569283f289dfd73419e119f32d56d0f3Shell web PHP, jT1Ds.php
SHA-256f0ff36ecdc843351913dbfbd9122b62563894936ff64215a7a2f89181ebdb57fShell web, RG0eQV6.php
CadenaUNA PIEZACadena de marcador encontrada en webshells relacionados

Cómo las organizaciones pueden reducir el riesgo

Los equipos de seguridad deberían tratar el deterioro de la defensa como una señal de advertencia importante. Cuando un atacante desactiva las herramientas de registro o de seguridad, es posible que el incidente ya haya ido más allá de la simple actividad de webshell.

Los equipos deben monitorear los cambios sospechosos enPreferencias de Microsoft Defender, paradas inesperadas del servicio, agentes de registro eliminados, configuraciones inusuales del depurador y registros de eventos borrados. Estos cambios suelen aparecer antes del robo de credenciales, el ransomware o el movimiento lateral.

Las organizaciones también deben conservar y reenviar registros fuera del host comprometido. Un registro de eventos local de Windows puede desaparecer rápidamente si el atacante obtiene acceso a nivel de administrador.

  • Parchee rápidamente aplicaciones y servidores web conectados a Internet
  • Mantenga los servidores públicos detrás de un firewall o VPN cuando no se requiera acceso directo
  • Reenviar registros de seguridad, IIS y de Windows a un sistema independiente
  • MonitorColección de eventos de Sysmonpara huecos o paradas repentinas
  • Alerta sobre actividad asignada aINGLETE ATT&CK T1685
  • VerificarAlmacenamiento de credenciales WDigestpermanece deshabilitado cuando sea necesario
  • Revisar las detecciones deINGLETE ATT&CK T1003comportamiento de volcado de credenciales
  • Mantener un probadopolítica WAFpara aplicaciones web expuestas

Por qué este incidente es importante

Este ataque muestra cómo el robo de credenciales a menudo depende de brechas de visibilidad anteriores. La etapa de Mimikatz llamó la atención, pero la historia más importante fue el intento del atacante de desmantelar las defensas primero.

El caso también pone de relieve un error de respuesta común. Volver a poner en línea un servidor antes de que finalice la reparación puede darle al mismo atacante otra oportunidad de continuar la operación.

Para los defensores, la lección es directa. No busque únicamente herramientas de volcado de credenciales. Busque el silencio que crean los atacantes antes de que aparezcan esas herramientas.

Preguntas frecuentes

¿Qué desactivaron los piratas informáticos antes de utilizar Mimikatz?

Los atacantes se dirigieron a Microsoft Defender, Sysmon, Filebeat, herramientas de seguridad de endpoints, registros de IIS, protección ModSecurity WAF y registros de eventos de Windows antes de utilizar las herramientas de volcado de credenciales relacionadas con Mimikatz.

¿Cómo empezó el ataque?

El incidente comenzó con una actividad de enumeración sospechosa en un servidor web comprometido. Los investigadores encontraron un webshell ASPX esteganográfico oculto en un directorio de imágenes del servidor.

¿Por qué es peligroso desactivar Sysmon durante un ataque?

Sysmon registra actividad importante de Windows, incluida la creación de procesos, conexiones de red, carga de controladores y cambios de marca de tiempo de archivos. Si los atacantes lo detienen, los defensores pierden datos forenses y de detección útiles.

¿Qué papel jugó WDigest en el intento de dumping de credenciales?

El atacante modificó la configuración relacionada con WDigest para aumentar el riesgo de que las credenciales se almacenen en la memoria. Esto puede hacer que el volcado de credenciales sea más útil para los atacantes si obtienen suficientes privilegios.

¿Cómo pueden las organizaciones detectar ataques similares antes?

Las organizaciones deben monitorear los servicios de seguridad detenidos, los cambios en las preferencias de Defender, los registros de eventos borrados, los archivos webshell inesperados, la eliminación de WAF, los cambios de WDigest y las lagunas en los registros reenviados desde servidores críticos.