SOC Prime Bias: Crítico

01 Jul 2026 09:43 UTC

La fuerza bruta de SQL abre la puerta al ransomware BlueSky

Author Photo
SOC Prime Team linkedin icon Seguir
La fuerza bruta de SQL abre la puerta al ransomware BlueSky
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un actor de amenaza utilizó envenenamiento SEO para distribuir malware BumbleBee a través de un instalador de ManageEngine OpManager trojanizado. Después de obtener el acceso inicial, el atacante desplegó AdaptixC2 para comando y control, se movió lateralmente mediante túneles RDP y SSH, y exfiltró más de 75 GB de datos sensibles. La intrusión terminó con el despliegue de ransomware Akira para encriptar la infraestructura del dominio.

Investigación

El análisis forense identificó el vector de infección inicial como un dominio similar, opmanager.pro, que servía un instalador MSI malicioso. Los investigadores rastrearon la cadena de ejecución desde la carga lateral de DLL de msimg32.dll hasta la inyección de shellcode de AdaptixC2 en la utilidad Windows Address Book. La revisión de la telemetría de la red y los artefactos del sistema de archivos también revelaron exfiltración de datos a gran escala a través de FileZilla y el uso de túneles SSH reversos para proxy RDP.

Mitigación

Las organizaciones deberían aplicar un filtrado web estricto para bloquear dominios recién registrados o similares y monitorear comportamientos sospechosos de carga lateral de DLL. Limitar los privilegios administrativos y detectar la creación no autorizada de cuentas o servicios de dominio también es crítico. Además, un filtrado de salida fuerte y la monitorización de túneles SSH o RDP no autorizados pueden ayudar a prevenir tanto el movimiento lateral como la exfiltración de datos.

Respuesta

Si se detecta esta actividad, aísle inmediatamente los sistemas afectados, especialmente los controladores de dominio y servidores de respaldo, para detener la propagación de ransomware. Termine todas las sesiones de acceso remoto no autorizadas, incluidos los túneles SSH y las instancias de RustDesk. Realice un restablecimiento completo de credenciales para todas las cuentas de dominio, prestando especial atención a los administradores de la empresa, y comience la recuperación utilizando copias de seguridad offline e inmutables.

Flujo de Ataque

Detecciones

Uso Suspicaz de WMIC (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Referencia Suspeciosa de Powershell Shadowcopy (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Posible Eliminación de Copias de Sombra vía WMI (vía powershell)

Equipo de SOC Prime
01 Julio 2026

Conexión Saliente Sospechosa por Proceso Poco Común (vía network_connection)

Equipo de SOC Prime
01 Julio 2026

Solicitud DNS Realizada Por Proceso Poco Común (vía dns_query)

Equipo de SOC Prime
01 Julio 2026

Reenvío de Puerto SSH Sospechoso [Windows] (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Posible Enumeración de Sistema (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Descubrimiento Sospechoso de Confianzas de Dominio (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Posible Volcado de Credenciales Usando Comsvcs.dll (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Ejecución Sospechosa de PSQL (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Actividad Sospechosa de la Herramienta Wbadmin (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Posible BYOVD – Ataque de Traer tu Propio Controlador Vulnerable (vía auditoría)

Equipo de SOC Prime
01 Julio 2026

Posible Actividad de Bits Transfer (vía powershell)

Equipo de SOC Prime
01 Julio 2026

Posible Ejecución por Uso de Nombre de Script Corto (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Posible Script de Powershell Conteniendo Lolbin (vía powershell)

Equipo de SOC Prime
01 Julio 2026

Creación de Servicio de Software de Acceso/Administración Remota (vía sistema)

Equipo de SOC Prime
01 Julio 2026

Software Alternativo de Acceso/Administración Remota (vía process_creation)

Equipo de SOC Prime
01 Julio 2026

Posible Enumeración o Manipulación de Cuentas o Grupos (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Ejecución de Procesos del Sistema desde Rutas Atípicas (vía process_creation)

Equipo de SOC Prime
01 Julio 2026

Posible Msiexec Ejecutando Archivos en Directorio No Común (vía cmdline)

Equipo de SOC Prime
01 Julio 2026

Detectar Actividad de RustDesk y Ransomware Akira [Sistema Windows]

Reglas AI de SOC Prime
01 Julio 2026

Detección de Ejecución e Inyección de BumbleBee y AdaptixC2 [Creación de Procesos Windows]

Reglas AI de SOC Prime
01 Julio 2026

Resumen Ejecutivo

  • ID de Caso de Prueba: TC-20250522-K9L2P
  • TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
  • Resumen de Lógica de Regla de Detección: La regla se activa si rustdesk.exe es generado por services.exe o si locker.exe es ejecutado con la línea de comandos que contiene «Copias de Sombra de Volumen».
  • Lenguaje/Formato de Regla de Detección: yaml
  • Entorno de Seguridad Objetivo: SO Windows con Sysmon habilitado, dirigido a un SIEM capaz de procesar la telemetría del Evento ID 1 de Sysmon (Creación de Procesos).
  • Puntuación de Resiliencia (1-5): 2
  • Justificación: La regla depende en gran medida de nombres de archivos específicos, codificados (rustdesk.exe and locker.exe). Un adversario puede eludir esto fácilmente renombrando sus binarios. Además, la detección de Akira está limitada a una cadena específica en la línea de comandos, que puede ser ofuscada.
  • Conclusiones Clave: La regla detecta efectivamente el uso «de fábrica» de estas herramientas pero falla ante cualquier técnica básica de evasión como el cambio de nombre de binarios o la manipulación de argumentos de la línea de comandos.
  • Recomendación: Pasar de la detección basada en nombres de archivos a indicadores de comportamiento, como la monitorización de instalaciones de servicios no autorizados, conexiones de red inesperadas desde herramientas de escritorio remoto y la eliminación de copias de sombra a través de vssadmin or wmic independientemente del nombre del proceso padre.

## Entorno de Simulación y Contexto

  • TTPs Bajo Prueba:
    • T1003.001: Volcado de Credenciales de OS: Memoria de LSASS
    • T1059.001: Intérprete de Comandos y Scripts: PowerShell
    • T1490: Inhibir la Recuperación del Sistema (Eliminación de Copias de Sombra)
    • T1543.003: Crear o Modificar Proceso de Sistema: Servicio de Windows
  • Contexto y Relevancia de TTP: La simulación tiene como objetivo replicar el perfil de doble amenaza: el uso de RustDesk para acceso remoto persistente (instalado como servicio) y la ejecución de comandos estilo ransomware Akira para inhibir la recuperación del sistema al apuntar a las Copias de Sombra de Volumen.
  • Entorno Objetivo:
    • OS: Windows 10/11 o Servidor Windows
    • Registros: Sysmon (específicamente ID de Evento 1: Creación de Procesos)
    • Pila de Seguridad: SIEM (por ejemplo, Splunk, Sentinel o ELK)

## Telemetría y Comprobación Previa de Base de Línea

Razón: Antes de simular el ataque, debemos confirmar que el host objetivo está configurado para generar los registros necesarios, que estos registros son ingeridos por el SIEM, y que la regla de detección no se activa en actividad benigna. Sin esta validación, cualquier resultado de prueba es poco fiable.

  • 1. Instrucciones de Configuración de Telemetría:

      1. Instalar Sysmon en la máquina Windows objetivo.
      1. Aplicar un archivo de configuración (por ejemplo, la config de SwiftOnSecurity) que asegure que la Creación de Procesos (Evento ID 1) se capture con argumentos de línea de comandos completos.
      1. Asegúrese de que el registro de eventos de Sysmon se esté reenviando a su SIEM a través de Winlogbeat, Splunk Universal Forwarder o un agente similar.
  • 2. Ingestión y Validación de Base de Línea:

    • Acción (Telemetría Benigna): Ejecutar un comando estándar de PowerShell para verificar la información del sistema, lo que genera telemetría de creación de procesos sin activar patrones relacionados con el ransomware.

      Get-ComputerInfo | Select-Object CsName, OsArchitecture
    • Consulta de Validación (Ingestión):

      // Consulta KQL para verificar la ingestión de Evento ID 1 de Sysmon
      Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10

## Ejecución de Simulación

Requisito previo: La Comprobación Previa de Telemetría y Base de Línea debe haber pasado.

Razón: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y buscar generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa del Ataque y Comandos: El adversario comienza estableciendo persistencia y acceso remoto usando RustDesk. Para imitar una instalación de servicio, el adversario simulará el comportamiento donde un administrador de servicios (services.exe) genera el binario de acceso remoto. A continuación, el adversario ejecuta la carga útil de ransomware Akira. El objetivo de esta carga útil es destruir las copias de seguridad del sistema para prevenir la recuperación; lo hace llamando a un binario llamado locker.exe con una instrucción de línea de comandos específica para eliminar ‘Copias de Sombra de Volumen’. Esto imita la fase de alto impacto de un ataque de extorsión.

  • Script de Prueba de Regresión:

    # --- INICIO DE SIMULACIÓN ---
    # Parte 1: Simular Ejecución de Servicio RustDesk
    # Simulamos el comportamiento donde services.exe genera rustdesk.exe. 
    # Dado que no podemos imitar fácilmente el ParentProcessID de services.exe sin controladores de kernel, 
    # simularemos la creación de artefactos y luego usaremos una herramienta como 'Process Hacker' 
    # o un script para simular la telemetría específica si es posible, 
    # pero para este script, crearemos el archivo y desencadenaremos un proceso.
    
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    
    # Nota: Para activar la regla EXACTA 'ParentImage|endswith: services.exe', 
    # se requiere una instalación de servicio real.
    Write-Host "[+] Creando binario simulado de RustDesk en $rustdeskPath"
    
    # Parte 2: Simular Actividad de Ransomware Akira
    $lockerPath = "$env:TEMPlocker.exe"
    New-Item -Path $lockerPath -ItemType File -Force
    Write-Host "[+] Creando 'locker.exe' simulado de Akira en $lockerPath"
    
    # Activación de la lógica de detección de Akira vía contiene CommandLine 'Volume Shadow Copies'
    # Usamos start-process para asegurar que la línea de comandos sea capturada por Sysmon
    Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow
    
    Write-Host "[!] Comandos de simulación ejecutados. Verifique alertas 'locker.exe' en SIEM."
    # --- FIN DE SIMULACIÓN ---
  • Comandos de Limpieza:

    # --- INICIO DE LIMPIEZA ---
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Limpieza completa."
    # --- FIN DE LIMPIEZA ---