CrySome RAT: Un Avanzado y Persistente Troyano de Acceso Remoto .NET

Resumen

CrySome RAT es un troyano de acceso remoto .NET que permite control remoto completo, robo de credenciales y persistencia estratificada. Incluye un AVKiller componente diseñado para deshabilitar herramientas de seguridad y utiliza abuso de particiones de recuperación además de ediciones fuera de línea del registro para sobrevivir reinicios y reconstruir acceso. Para mantener puntos de apoyo a largo plazo, el malware usa escritorios virtuales ocultos, procesos watchdog, tareas programadas y servicios de Windows, creando caminos de ejecución redundantes que complican la limpieza.

Investigación

El informe combina descompilación estática del cliente C# con análisis de comportamiento dinámico. Los investigadores mapearon componentes modulares—como SelfProtect, AVKiller, Survival, y manejadores de comandos—a capacidades y flujos de control distintos. La persistencia se rastreó a través de tareas programadas, entradas del registro RunOnce, instalación de servicios, y despliegue en particiones de recuperación utilizadas para sembrar artefactos después de acciones de recuperación del sistema. El comportamiento de la red se identificó como comando y control TCP simple usando un formato de paquete personalizado.

Mitigación

Monitoree las tareas programadas llamadas CrySomeLoader y servicios llamados WindowsHealthMonitor. Audite regularmente las ubicaciones de registro de RunOnce y otros autorun para entradas desconocidas o recién agregadas. Bloquee crysome.net y cualquier infraestructura IP asociada en capas DNS/proxy. Aplique configuraciones de seguridad protegidas contra manipulación para prevenir la desactivación de defensa al estilo AVKiller y alertas ante intentos de cambiar configuraciones de Defender o protección de punto final.

Respuesta

Aísle los hosts que presenten indicadores de CrySome y recopile evidencia volátil antes de la remediación. Realice una revisión forense de particiones de recuperación y colmenas de registro fuera de línea para identificar persistencia oculta. Elimine binarios redundantes, borre las tareas programadas maliciosas, servicios y entradas de registro, y restaure las configuraciones de Microsoft Defender a una línea base conocida. Despliegue detecciones EDR que cubran los nombres de procesos específicos y los patrones de línea de comando asociados con la ejecución de CrySome.

Ejecución de simulación

Requisito previo: El chequeo pre‑vuelo de telemetría y línea base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscar generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

• Narrativa y comandos del ataque:

  El operador de CrySome RAT primero obtiene acceso en la máquina de la víctima. Para ocultar la carga útil maliciosa, el RAT inicia conhost.exe como un proceso hijo de sí mismo, aprovechando el host de consola nativo para ocultar su línea de comando. Luego, lanza RuntimeBroker.exe para mezclarse con tareas de fondo legítimas de Windows, logrando el disfraz. Finalmente, el atacante ejecuta un comando PowerShell de una línea que desactiva la protección en tiempo real de Microsoft Defender, utilizando el cmdlet Set-MpPreference. Cada paso genera un evento 4688 distinto que coincide con la regla de detección.

  1. Proceso RAT (p.ej., CrySome.exe) → Start-Process -FilePath "C:WindowsSystem32conhost.exe" -ArgumentList "/c ..."
  2. Proceso RAT → Start-Process -FilePath "C:WindowsSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost ..."
  3. Proceso RAT → powershell.exe -NoProfile -WindowStyle Hidden -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

• Script de prueba de regresión:

  # -------------------------------------------------------------------------
  # Simulación de técnica CrySome RAT – diseñado para activar la regla Sigma
  # -------------------------------------------------------------------------
  
  # 1. Inicia conhost.exe (actúa como un host de consola sigiloso)
  Start-Process -FilePath "$env:SystemRootSystem32conhost.exe" -ArgumentList "/c ping -n 5 127.0.0.1" -WindowStyle Hidden
  
  # 2. Inicia RuntimeBroker.exe (disfrazándose como un componente confiable de Windows)
  Start-Process -FilePath "$env:SystemRootSystem32RuntimeBroker.exe" -ArgumentList "/TaskHost" -WindowStyle Hidden
  
  # 3. Deshabilita Defender usando PowerShell (evasión de defensa)
  $psCmd = 'Set-MpPreference -DisableRealtimeMonitoring $true'
  Start-Process -FilePath "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" `
                -ArgumentList "-NoProfile -WindowStyle Hidden -Command `$psCmd" `
                -WindowStyle Hidden
  
  Write-Host "Simulación completa – revise su SIEM para alertas."

• Comandos de limpieza:

  # Termine cualquier proceso de prueba persistente (ejecutar como Administrador)
  Get-Process -Name conhost, RuntimeBroker, powershell | Stop-Process -Force
  
  # Vuelva a habilitar Defender (restaurar postura defensiva normal)
  Set-MpPreference -DisableRealtimeMonitoring $false
  
  Write-Host "Limpieza finalizada."