Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Se utilizó una campaña de ingeniería social ClickFix para desplegar el cargador Potemkin, que posteriormente entregó tanto el RMMProject RAT como EtherRAT. La intrusión incluyó actividad con intervención manual, movimiento lateral a través de WMIExec y SMBExec, e intentos de debilitar o deshabilitar Microsoft Defender. En total, los atacantes se propagaron en más de 11 sistemas dentro del entorno de la víctima.
Investigación
La investigación rastreó la violación hasta un endpoint no gestionado donde un usuario ejecutó un comando malicioso. Los analistas identificaron un cargador personalizado llamado Potemkin que utilizaba un algoritmo de generación de dominios determinista, junto con un RAT habilitado para Lua llamado RMMProject que podía eludir el cifrado App-Bound de Chrome. Los investigadores también documentaron EtherRAT, que recupera infraestructura de comando y control a través de la blockchain de Ethereum, así como el uso de túneles Chisel durante la intrusión.
Mitigación
Una de las defensas más efectivas es deshabilitar el cuadro de diálogo Ejecutar de Windows a través de la Política de Seguridad para reducir la posibilidad de ejecución de ClickFix. Las organizaciones también deberían habilitar la protección contra manipulaciones de Microsoft Defender y monitorear cambios no autorizados en el registro que afecten la configuración de seguridad o intentos de deshabilitar el WinDefend servicio. Una cobertura amplia y consistente del endpoint sigue siendo esencial para prevenir que los atacantes obtengan un punto de apoyo inicial.
Respuesta
Si se detecta esta actividad, los respondedores deben aislar los sistemas afectados inmediatamente para detener movimientos laterales adicionales. La remediación debe incluir la terminación de procesos maliciosos de Node.js, eliminar mecanismos de persistencia identificados como claves Run y tareas programadas, y limpiar rutas de exclusión no autorizadas de Microsoft Defender. Es necesario un barrido completo de todo el entorno porque los métodos de persistencia pueden diferir de un host a otro.
"graph TB %% Class Definitions classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef defense_evasion fill:#9b59b6,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef c2 fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#f1c40f,stroke:#333,stroke-width:2px classDef lateral_movement fill:#1abc9c,stroke:#333,stroke-width:2px classDef defense_impairment fill:#34495e,stroke:#333,stroke-width:2px %% Initial Access and Execution Phase action_clickfix["<b>Acción</b> – <b>T1204.004 Ejecución de Usuario: Copiar y Pegar Malicioso</b><br/>Descripción: Se engaña al usuario a través de ingeniería social de ClickFix para pegar y ejecutar un comando en el cuadro de diálogo Ejecutar de Windows.<br/><b/>Artefactos: cmd /min /c pcalua.exe -a mshta.exe…"] class action_clickfix initial_access exec_mshta["<b/>Acción</b> – <b>T1218.005 Ejecución de Proxy de Binario del Sistema: Mshta</b><br/>Descripción: Abusa de pcalua.exe para ejecutar mshta.exe como proxy y obtener una carga útil HTA remota.<br/><b/>Artefactos: carga útil hte.hta, pcalua.exe"] class exec_mshta execution exec_msiexec["<b/>Acción</b> – <b>T1218.007 Ejecución de Proxy de Binario del Sistema: Msiexec</b><br/>Descripción: MSI malicioso se instala silenciosamente utilizando msiexec.<br/><b/>Artefactos: inst24.msi, msiexec /qn"] class exec_msiexec execution %% Persistence and Loader Phase persist_netsh["<b/>Acción</b> – <b>T1546.007 Ejecución Activada por Evento: Netsh Helper DLL</b><br/>Descripción: Se establece persistencia a través de un componente MSI AutostartRegistry.<br/><b/>Artefactos: cargador Potemkin, RunSearch.exe en %LOCALAPPDATA%MicrosoftRunSearch"] class persist_netsh persistence %% Command and Control Phase c2_dga["<b/>Acción</b> – <b>T1568 Resolución Dinámica</b><br/>Descripción: El cargador Potemkin utiliza un Algoritmo de Generación de Dominios para encontrar servidores C2.<br/><b/>Artefactos: Potemkin DGA"] class c2_dga c2 c2_ether["<b/>Acción</b> – <b>T1568 Resolución Dinámica</b><br/>Descripción: EtherRAT resuelve su dirección C2 desde la blockchain de Ethereum a través de EtherHiding.<br/><b/>Artefactos: EtherRAT"] class c2_ether c2 %% Credential Access Phase cred_steal["<b/>Acción</b> – <b>T1539 Robo de Cookies de Sesión Web</b><br/>Descripción: El RMMProject RAT apunta a navegadores para robar cookies y credenciales mediante inyección de DLL para eludir el cifrado App-Bound de Chrome.<br/><b/>Artefactos: RMMProject, bases de datos SQLite del navegador"] class cred_steal credential_access %% Lateral Movement Phase lat_move["<b/>Acción</b> – <b>T1210 Explotación de Servicios Remotos</b><br/>Descripción: El atacante se mueve lateralmente usando WMIExec y SMBExec para propagar el instalador MSI.<br/><b/>Artefactos: WMIExec, SMBExec, msiexec /i <IP>ADMIN$Temp…"] class lat_move lateral_movement %% Defense Impairment Phase def_impair["<b/>Acción</b> – <b>T1687 Explotación para Deterioro de Defensa</b><br/>Descripción: Luchar contra Windows Defender parcheando AMSI, escribiendo políticas de registro, y matando el servicio.<br/><b/>Artefactos: claves de registro DisableAntiSpyware, Stop-Service WinDefend, parcheo AMSI"] class def_impair defense_impairment %% C2 Tunneling Phase c2_tunnel["<b/>Acción</b> – <b>T1572 Túnel de Protocolo</b><br/>Descripción: Usando Chisel para establecer túneles SOCKS inversos y túneles Cloudflare para exponer servicios internos.<br/><b/>Artefactos: Chisel, cloudflared renombrado a svchost.exe"] class c2_tunnel c2 %% Connections %% Flow from initial access to execution action_clickfix –>|leads_to| exec_mshta action_clickfix –>|leads_to| exec_msiexec %% Execution leads to persistence exec_msiexec –>|installs| persist_netsh %% Persistence leads to C2 and Loader deployment persist_netsh –>|deploys| c2_dga persist_netsh –>|deploys| c2_ether %% C2 activities lead to credential access c2_dga –>|executes| cred_steal c2_ether –>|executes| cred_steal %% Lateral movement spreads the attack cred_steal –>|enables| lat_move lat_move –>|deploys_to_new_hosts| exec_msiexec %% Defense impairment protects the attacker exec_mshta –>|used_to_patch| def_impair def_impair –>|facilitates| c2_tunnel "
Flujo de Ataque
Detecciones
Ejecución de Procesos del Sistema desde Rutas Atípicas (vía creación_de_proceso)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (vía powershell)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive Software/NTUSER] (vía evento_de_registro)
Ver
Deshabilitar Protecciones de Windows Defender (vía evento_de_registro)
Ver
Posibles Patrones de Línea de Comando de Impacket (vía línea_de_comando)
Ver
Interrupción de Servicios Sospechosa de Ransomware (vía línea_de_comando)
Ver
La Posibilidad de Ejecución a través de Líneas de Comando de PowerShell Ocultas (vía línea_de_comando)
Ver
Binario de NodeJS Ejecutándose Desde una Ubicación No Común (vía línea_de_comando)
Ver
LOLBAS Pcalua (vía línea_de_comando)
Ver
Comportamiento de Evasión de Defensa Sospechoso de LOLBAS MSHTA por Detección de Comandos Asociados (vía creación_de_proceso)
Ver
LOLBAS Conhost (vía línea_de_comando)
Ver
Uso de Certutil para Codificación de Datos y Operaciones de Certificados (vía línea_de_comando)
Ver
Posible Uso de Herramientas de Túnel [Windows] (vía línea_de_comando)
Ver
Uso Sospechoso de CURL (vía línea_de_comando)
Ver
Llamar Métodos Sospechosos de .NET desde Powershell (vía powershell)
Ver
Se Creó un Archivo Ejecutable Sospechoso con Nombre Similar a un Proceso del Sistema Legítimo (vía evento_de_archivo)
Ver
Posible Intento de Abuso de Publicnode Ethereum como Canal C2 (vía consulta_dns)
Ver
Descarga de Archivo Sospechosa Directa por IP (vía proxy)
Ver
Ejecución de Script de PowerShell y Manipulación de Windows Defender [Powershell de Windows]
Ver
Detección de Comunicación C2 Basada en Ethereum por EtherRAT [Conexión de Red de Windows]
Ver
Detección de Entrega de Carga Útil ClickFix HTA via Mshta.exe [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Requisito previo: El Control Previo de Telemetría y Línea Base debe haber sido aprobado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un mal diagnóstico.
-
Narrativa del Ataque y Comandos: El adversario busca establecer un canal C2 utilizando el método característico de EtherRAT. Para evadir el análisis estático de su configuración de malware, utilizan
curlpara realizar una solicitud HTTP POST a un endpoint RPC público de Ethereum (https://eth.drpc.org). Esta solicitud está diseñada para obtener la IP/dominio C2 real de la blockchain. Para satisfacer la lógica específica de la regla de detección actual, el comando está estructurado para incluir el dominio malicioso conocidoanus-staylard.xyzdentro de los argumentos de la línea de comando, simulando la entrega de la carga útil o la fase de configuración. -
Script de Prueba de Regresión:
# Simulación de resolución C2 de EtherRAT a través de Ethereum RPC # Este script imita los patrones específicos de la línea de comando necesarios para activar la regla Sigma. $maliciousDomain = "anus-staylard.xyz" $rpcEndpoint = "https://eth.drpc.org" $maliciousIpString = "77.110.122.58:23205/lQhEQui9a4lZ.exe" # Construyendo el comando para coincidir con la lógica (selección1 O selección2) Y selección3 # Patrón: curl -s -X POST https://eth.drpc.org ... anus-staylard.xyz $cmd = "curl.exe -s -X POST $rpcEndpoint -d 'data=query' --user-agent '$maliciousDomain' --referer '$maliciousIpString'" Write-Host "[+] Ejecutando comando simulado de EtherRAT: $cmd" Start-Process "cmd.exe" -ArgumentList "/c $cmd" -NoNewWindow -
Comandos de Limpieza:
# No se crean archivos permanentes por esta simulación; # solo ocurre la ejecución de procesos efímeros. Write-Host "[+] Simulación completa. No se requiere limpieza."