Cadena de Instaladores Falsos Termina en Infección de ValleyRAT
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador troyanizado que se hace pasar por el LINE configurador de mensajería fue observado entregando un ValleyRAT carga útil. Construido con NSIS y firmado con un certificado sospechoso, el dropper instala múltiples componentes DLL e INI que soportan inyección de código and persistencia. El malware luego se comunica con dos servidores C2 alojados en Hong Kong para obtener binarios maliciosos adicionales. La actividad parece estar dirigida a usuarios de habla china y emplea técnicas avanzadas, incluyendo PoolParty Variant 7 inyección de procesos.
Investigación
Los analistas de Cybereason realizaron un análisis estático y dinámico del falso instalador de LINE y confirmaron el uso de PowerShell, rundll32, y cargadores DLL personalizados. La cadena creó artefactos en %AppData% and %LocalAppData%, estableció sincronización a través de mutexes, y registró persistencia a través de tareas programadas creadas vía RPC. El comportamiento posterior a la instalación incluyó inyección en explorer.exe and UserAccountBroker.exe, consistente con un flujo de trabajo de acceso remoto enfocado en el sigilo. La telemetría de red identificó dos direcciones IP C2 en Hong Kong usadas para la recuperación de comandos y preparación de la carga útil. Se evaluó la atribución como consistente con actividad de Silver Fox y mostró solapamiento de código con SADBRIDGE.
Mitigación
Buscar el falso instalador empaquetado con NSIS y alertar sobre la huella digital del certificado sospechoso asociado con la cadena de firma. Monitorear la creación del conjunto de archivos dejados por el instalador, modificaciones relacionadas en el registro, e intentos de añadir exclusiones de Windows Defender. Bloquear la conectividad saliente a las IP C2 identificadas y hacer cumplir controles de firmas de código que rechacen certificados inválidos o no confiables. Añadir detecciones de EDR para patrones de inyección estilo PoolParty Variant 7y para secuencias de creación de tareas programadas consistentes con persistencia basada en RPC.
Respuesta
Si se detecta actividad sospechosa, aislar el endpoint, terminar procesos maliciosos y eliminar el falso instalador y todos los artefactos dejados. Realizar una búsqueda completa de ValleyRAT módulos adicionales, restaurar configuraciones de Defender (incluyendo la eliminación de exclusiones no autorizadas), y eliminar las tareas programadas creadas por el atacante. Revisar la actividad reciente del usuario y del host en busca de signos de movimiento lateral, luego escalar a respuesta a incidentes para captura de memoria y recolección forense más profunda.
Flujo de Ataque
Detecciones
Posible Creación de Tarea Programada (vía powershell)
Ver
Tarea Programada Sospechosa (vía auditoría)
Ver
Ejecución de Ruta Sospechosa Rundll32 Dll (vía creación_de_procesos)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (vía powershell)
Ver
LOLBAS Regsvr32 (vía línea de comandos)
Ver
IOCs (IPDestino) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
IOCs (HashSha1) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
IOCs (IPOrigen) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
Detección de Instalador Falso Usando Exclusiones de Windows Defender y Tareas Programadas [Windows Powershell]
Ver
Ejecución de Simulación
Prerequisito: La Verificación de Telemetría y Baseline Pre-vuelo debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un atacante que ya ha comprometido una cuenta de bajo privilegio desea preparar una carga en el host comprometido mientras evade el escaneo antivirus. El atacante:- Usa PowerShell para añadir una exclusión en Windows Defender que cubra todo el C: disco, asegurando que cualquier binario malicioso colocado allí sea invisible para Defender.
- En la misma invocación de PowerShell, registra una tarea programada que lanzará la carga oculta (
C:Malwarepayload.ps1) cada vez que se inicie un proceso específico legítimo (p.ej.,explorer.exe) proporcionado persistencia. - Porque ambas acciones se combinan en una única línea de comandos, la telemetría coincide con
la selección1 y selección2de la regla Sigma, causando una alerta.
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Simulación de Instalador Falso – Activa Regla Sigma # ------------------------------------------------- # 1. Define ruta de exclusión (todo el disco C:) $exclusion = "C:" # 2. Define detalles de la tarea programada $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combina ambos comandos en una única línea de comando de PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoca el comando combinado Invoke-Expression $combined -
Comandos de Limpieza:
# ------------------------------------------------- # Limpieza – Elimina la exclusión y la tarea programada # ------------------------------------------------- # Elimina la exclusión de Defender para C: Remove-MpPreference -ExclusionPath "C:" # Elimina la tarea programada Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false