BlackToad Usa Manipulación de Redes en una Carga Útil de AutoIt
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
JUMPSEC descubrió una campaña de phishing que entrega un payload de Remcos RAT oculto dentro de un cifrador AutoIt personalizado. La cadena de infección utiliza un script VBS para ejecutar ipconfig /release seguido por ipconfig /renew, interrumpiendo brevemente la conectividad de red como una forma de evadir la detección. Los investigadores vincularon la campaña con el ecosistema de cibercrimen nigeriano, con una infraestructura que depende de dominios de DNS dinámicos alojados detrás de conexiones de ISP móviles.
Investigación
La investigación siguió el correo malicioso, descomprimió el archivo WinRAR autoextraíble incrustado e identificó un cargador VBS que lanzó un intérprete de AutoIt disfrazado. El script de AutoIt luego desencriptó y ejecutó el implante de Remcos, mientras que la configuración recuperada expuso los dominios de comando y control, el valor del mutex y una clave de ejecución de persistencia. Los investigadores asignaron la infraestructura de soporte a tres dominios de DNS dinámicos y un conjunto rotativo de direcciones IP nigerianas.
Mitigación
Las organizaciones deben bloquear los dominios de DNS dinámicos identificados y los rangos de IP asociados, monitorear la ipconfig /release and ipconfig /renew secuencia sospechosa y detectar scripts de AutoIt o VBS que inicien cmd.exe. También se deben aplicar controles de ejecución estrictos a los archivos que utilicen extensiones dobles engañosas, mientras que las entradas de registro de Ejecución como WindowsUpdate deben ser monitoreadas para prevenir abusos.
Respuesta
Si se detecta esta actividad, aísle el endpoint afectado inmediatamente, termine el proceso de Remcos, elimine la clave de ejecución maliciosa utilizada para la persistencia y realice una revisión forense completa para detectar el robo de credenciales o actividades posteriores. El contenido de detección también debe actualizarse para identificar la técnica de privación de red y los patrones de nombres de archivo específicos vinculados a la campaña.
Flujo de Ataque
Detecciones
Posibles Puntos de Persistencia [ASEPs – Contenedor de Software/NTUSER] (via registry_event)
Ver
Posible Servicio de DNS Dinámico Fue Contactado (via dns)
Ver
Posible Archivo Malicioso SCR con Doble Extensión (via cmdline)
Ver
IOCs (HashSha256) para detectar: BlackToad: Manipulación de Red en una Carga Útil de AutoIt
Ver
IOCs (HashMd5) para detectar: BlackToad: Manipulación de Red en una Carga Útil de AutoIt
Ver
IOCs (SourceIP) para detectar: BlackToad: Manipulación de Red en una Carga Útil de AutoIt
Ver
IOCs (DestinationIP) para detectar: BlackToad: Manipulación de Red en una Carga Útil de AutoIt
Ver
Detección de Comunicación C2 de BlackToad [Conexión de Red en Windows]
Ver
Manipulación de Red de BlackToad a través de Carga Útil de AutoIt [Creación de Procesos en Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haberse completado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscan generar la telemetría exacta esperada por la lógica de detección. Los ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos:
- Objetivo: Establecer un canal C2 con el implante Remcos de BlackToad utilizando uno de los dominios maliciosos conocidos de DDNS en el puerto codificado 50240.
- Paso a paso:
- Resolver el dominio DDNS malicioso elegido (
pmitm.ddns.net). - Abrir un socket TCP a la IP resuelta en el puerto 50240.
- Enviar una carga útil mínima de “latido” para emular el saludo inicial del implante.
- Mantener el socket abierto durante 30 segundos para asegurar que el firewall registre la conexión saliente.
- Resolver el dominio DDNS malicioso elegido (
- La conexión saliente coincide exactamente con la lista de reglas Sigma de
destination.ipy losdestination.portcriterios, produciendo un evento detectable del firewall.
-
Script de Prueba de Regresión:
# Simulación de comunicación C2 de BlackToad (PowerShell) $c2Domain = "pmitm.ddns.net" # uno de los dominios listados en la regla $c2Port = 50240 try { # Resolver dominio a IP (agrega telemetría de consulta DNS) $ip = [System.Net.Dns]::GetHostAddresses($c2Domain) | Where-Object { $_.AddressFamily -eq 'InterNetwork' } | Select-Object -First 1 if (-not $ip) { throw "No se puede resolver $c2Domain" } Write-Host "$c2Domain resuelto a $($ip.IPAddressToString). Conectando..." # Abrir conexión TCP (genera registro de salida del firewall) $client = New-Object System.Net.Sockets.TcpClient $client.Connect($ip, $c2Port) # Enviar un latido simple (hex 0x01) $stream = $client.GetStream() $payload = [byte[]](0x01) $stream.Write($payload, 0, $payload.Length) Write-Host "Latido enviado. Manteniendo la conexión activa durante 30 segundos..." Start-Sleep -Seconds 30 $stream.Close() $client.Close() Write-Host "Conexión cerrada correctamente." } catch { Write-Error "La simulación falló: $_" } -
Comandos de Limpieza:
# Asegurarse de que cualquier socket restante esté cerrado Get-NetTCPConnection -RemotePort 50240 -State Established | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force } # Opcional: Vaciar caché DNS para eliminar la entrada resuelta de DDNS ipconfig /flushdns Write-Host "Limpieza completa."