Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Esta amenaza se centra en una cadena de carga multi-etapa altamente sofisticada disfrazada como software legítimo de Panasonic. El malware utiliza Alibaba OSS para entregar cargas útiles y depende de portadores cifrados basados en imágenes que utilizan un distintivo formato de tráiler EOF de cinco bytes. Su etapa final despliega el backdoor Sauron, que mantiene la persistencia mediante la creación de servicios y cambios específicos en el registro.
Investigación
Los analistas realizaron tanto análisis estático como dinámico y descubrieron una secuencia de operaciones de carga lateral que involucraban binarios marcados como software de Tencent y Philips. La investigación expuso una rutina de descifrado por capas utilizando XOR y RC4 incrementales, junto con la creación de tareas programadas a través de mecanismos RPC. La forensia de memoria y la telemetría de sandbox ayudaron a reconstruir la ruta completa de ejecución, desde el contenedor temático de Panasonic inicial hasta el backdoor Sauron final.
Mitigación
Las organizaciones deben monitorizar la programación de tareas basada en RPC no autorizada y la creación sospechosa de tareas programadas a través de NdrClientCall3. Una lista blanca de aplicaciones sólida puede ayudar a bloquear la ejecución de DLLs cargadas lateralmente no aprobadas. Los defensores también deben prestar atención a la eliminación inesperada de copias de sombras de volumen y las modificaciones sospechosas del registro bajo HKCUSOFTWARE.
Respuesta
Si se detecta esta actividad, aísle inmediatamente los sistemas afectados para detener cualquier movimiento lateral adicional o comunicación de mando y control. Realice forensia de memoria para identificar los módulos inyectados y determinar la etapa actual de la cadena de carga. También se deben revisar los registros de red en busca de tráfico hacia la infraestructura de Alibaba OSS y las direcciones IP de mando y control conocidas identificadas durante el triaje.
graph TB %% Class Definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef evasion fill:#ccffcc classDef persistence fill:#ffff99 %% Node Definitions %% Initial Access and Execution exec_user_malicious[«<b>Acción</b> – <b id=’T1204.002’>Ejecución por el Usuario: Archivo Malicioso</b><br/><b>Archivo</b>: ainstaller-86533005.exe<br/><b>Descripción</b>: El usuario ejecuta un ejecutable troyanizado<br/>disfrazado como software de Notificación de PC de Panasonic.»] class exec_user_malicious action %% Obfuscation and Masquerading obf_files[«<b id=’T1027’>Archivos u Información Ofuscada</b><br/><b>Técnica</b>: Buffers de varias capas<br/><b>Mecanismo</b>: Decodificación personalizada de XOR/RC4<br/><b>Extracción</b>: Tráiler EOF de cinco bytes desde portadores de imagen.»] class obf_files malware mask_file_type[«<b id=’T1036.008’>Falsificación: Tipo de Archivo Falsificado</b><br/><b>Descripción</b>: Uso de extensiones de imagen (gif, jpg, png, db)<br/>para ocultar cargas útiles cifradas.»] class mask_file_type evasion %% Proxy Execution proxy_sys_bin[«<b id=’T1218’>Ejecución de Proxy de Binario de Sistema</b><br/><b>Objetivo 1</b>: Tencent UxEnhanceHost cargando UxEnhance64.dll<br/><b>Objetivo 2</b>: Philips/Speech Processing Solutions host cargando XPSPLOG.dll»] class proxy_sys_bin action %% Persistence persist_sched_task[«<b id=’T1053.005’>Tarea/Trabajo Programado: Tarea Programada</b><br/><b>Módulo</b>: VirtuOne<br/><b>Mecanismo</b>: Llamadas RPC al Programador de Tareas vía \pipeatsvc<br/><b>Objetivo</b>: Crear tareas repetitivas ocultas.»] class persist_sched_task persistence %% Defense Evasion evade_def_impair[«<b id=’T1685’>Imparcialidad de Defensa</b><br/><b>Acción</b>: Parchar ntdll.dll!NtTraceEvent»] class evade_def_impair evasion evade_selective_excl[«<b id=’T1679’>Exclusión Selectiva</b><br/><b>Herramienta</b>: PowerShell<br/><b>Comando</b>: Add-MpPreference -ExclusionPath<br/><b>Objetivo</b>: Añadir exclusiones en Windows Defender.»] class evade_selective_excl evasion %% Final Stage proxy_rundll32[«<b id=’T1218.011’>Ejecución de Proxy de Binario de Sistema: Rundll32</b><br/><b>Archivo</b>: rundll32.dat<br/><b>Exportación</b>: Edge<br/><b>Acción</b>: Instala e inicia un servicio malicioso.»] class proxy_rundll32 action malware_sauron[«<b id=’Malware’>Malware: Sauron</b><br/><b>Tipo</b>: Servicio Malicioso<br/><b>Capacidad</b>: Backdoor persistente y ejecución de comandos»] class malware_sauron malware %% Connections %% Flow of execution exec_user_malicious –>|activates| obf_files obf_files –>|utilizes| mask_file_type mask_file_type –>|leads_to| proxy_sys_bin proxy_sys_bin –>|enables| persist_sched_task persist_sched_task –>|facilitates| evade_def_impair persist_sched_task –>|facilitates| evade_selective_excl evade_def_impair –>|prepares environment for| proxy_rundll32 evade_selective_excl –>|prepares environment for| proxy_rundll32 proxy_rundll32 –>|installs| malware_sauron
Flujo de Ataque
Detecciones
Ejecución de Procesos del Sistema desde Rutas No Típicas (vía creación de procesos)
Ver
Ejecución Sospechosa desde el Perfil de Usuario Público (vía creación de procesos)
Ver
Actividad Sospechosa de VSSADMIN (vía línea de comandos)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (vía PowerShell)
Ver
Archivos Sospechosos en el Perfil de Usuario Público (vía evento de archivo)
Ver
Detección de Indicadores de Red de la Cadena de Carga SilverFox-style [Conexión de Red de Windows]
Ver
Detección de la Cadena de Carga SilverFox-style usando Ejecutable de Panasonic Troyanizado [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Requisito previo: La Verificación de Telemetría y Línea Base Pre-vuelo debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario busca descargar una carga útil de segunda etapa usando un servicio de almacenamiento en la nube legítimo para mezclarse con el tráfico normal. El atacante usa un comando de una sola línea de PowerShell para simular un cargador haciendo una solicitud a una URL conocida de Alibaba OSS de SilverFox:
https://jun616.oss-cn-beijing.aliyuncs.com/tad/payload.exe. Esta acción está destinada a eludir filtros de dominio simples aprovechando la reputación dealiyuncs.commientras se utiliza la ruta maliciosa específica definida en la regla de detección. -
Script de Prueba de Regresión:
# Simulación del Indicador de Red del Cargador SilverFox # Este script intenta conectar a la URL específica monitorizada por la regla Sigma. $targetUrl = "https://jun616.oss-cn-beijing.aliyuncs.com/tad/test_file.txt" Write-Host "[!] Simulando la conexión de red de SilverFox a: $targetUrl" try { # Usando Invoke-WebRequest para generar telemetría estándar de proxy HTTP $response = Invoke-WebRequest -Uri $targetUrl -Method Get -UseBasicParsing Write-Host "[+] Solicitud completada. Código de Estado: $($response.StatusCode)" } catch { # Esperamos un 404 o error de conexión si la URL no aloja realmente un archivo, # pero el log de proxy aún registrará el intento. Write-Host "[-] Solicitud intentada. Verifique los registros del proxy para el intento de conexión." } -
Comandos de Limpieza:
# No se realizaron cambios persistentes con esta simulación; no se requiere limpieza. Write-Host "[*] Limpieza de simulación completa."