Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un instalador troyanizado que se hace pasar por el LINE configurador de mensajería fue observado entregando un ValleyRAT carga útil. Construido con NSIS y firmado con un certificado sospechoso, el dropper instala múltiples componentes DLL e INI que soportan inyección de código and persistencia. El malware luego se comunica con dos servidores C2 alojados en Hong Kong para obtener binarios maliciosos adicionales. La actividad parece estar dirigida a usuarios de habla china y emplea técnicas avanzadas, incluyendo PoolParty Variant 7 inyección de procesos.
Investigación
Los analistas de Cybereason realizaron un análisis estático y dinámico del falso instalador de LINE y confirmaron el uso de PowerShell, rundll32, y cargadores DLL personalizados. La cadena creó artefactos en %AppData% and %LocalAppData%, estableció sincronización a través de mutexes, y registró persistencia a través de tareas programadas creadas vía RPC. El comportamiento posterior a la instalación incluyó inyección en explorer.exe and UserAccountBroker.exe, consistente con un flujo de trabajo de acceso remoto enfocado en el sigilo. La telemetría de red identificó dos direcciones IP C2 en Hong Kong usadas para la recuperación de comandos y preparación de la carga útil. Se evaluó la atribución como consistente con actividad de Silver Fox y mostró solapamiento de código con SADBRIDGE.
Mitigación
Buscar el falso instalador empaquetado con NSIS y alertar sobre la huella digital del certificado sospechoso asociado con la cadena de firma. Monitorear la creación del conjunto de archivos dejados por el instalador, modificaciones relacionadas en el registro, e intentos de añadir exclusiones de Windows Defender. Bloquear la conectividad saliente a las IP C2 identificadas y hacer cumplir controles de firmas de código que rechacen certificados inválidos o no confiables. Añadir detecciones de EDR para patrones de inyección estilo PoolParty Variant 7y para secuencias de creación de tareas programadas consistentes con persistencia basada en RPC.
Respuesta
Si se detecta actividad sospechosa, aislar el endpoint, terminar procesos maliciosos y eliminar el falso instalador y todos los artefactos dejados. Realizar una búsqueda completa de ValleyRAT módulos adicionales, restaurar configuraciones de Defender (incluyendo la eliminación de exclusiones no autorizadas), y eliminar las tareas programadas creadas por el atacante. Revisar la actividad reciente del usuario y del host en busca de signos de movimiento lateral, luego escalar a respuesta a incidentes para captura de memoria y recolección forense más profunda.
graph TB %% Definiciones de clase classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ff9999 classDef malware fill:#ccffcc classDef network fill:#dddddd %% Nodos tech_user_exec[«<b>Técnica</b> – <b>T1204 Ejecución del usuario</b><br/><b>Descripción</b>: La víctima ejecuta un instalador falso malicioso (LineInstaller.exe) que se hace pasar por un instalador legítimo de LINE.»] class tech_user_exec technique tech_masquerade[«<b>Técnica</b> – <b>T1036 Suplantación</b><br/><b>Descripción</b>: El instalador imita el nombre de software legítimo y utiliza un certificado de firma de código con apariencia válida.»] class tech_masquerade technique tech_event_exec[«<b>Técnica</b> – <b>T1546.016 Ejecución activada por evento: Paquetes de instalador</b><br/><b>Descripción</b>: El instalador basado en NSIS se ejecuta con privilegios elevados mediante UAC.»] class tech_event_exec technique tech_powershell[«<b>Técnica</b> – <b>T1059.001 PowerShell</b><br/><b>Descripción</b>: PowerShell añade rutas de exclusión a Windows Defender y prepara scripts de persistencia.»] class tech_powershell technique tech_regsvr32[«<b>Técnica</b> – <b>T1218.010 Ejecución proxy Regsvr32</b><br/><b>Descripción</b>: Tarea programada invoca regsvr32.exe para ejecutar DllRegisterServer en intel.dll.»] class tech_regsvr32 technique tech_rundll32[«<b>Técnica</b> – <b>T1218.011 Ejecución proxy Rundll32</b><br/><b>Descripción</b>: rundll32.exe lanza DllRegisterServer de intel.dll.»] class tech_rundll32 technique tech_sched_task[«<b>Técnica</b> – <b>T1053 Tarea programada</b><br/><b>Descripción</b>: Tareas programadas maliciosas creadas mediante llamadas RPC al servicio del Programador de tareas.»] class tech_sched_task technique tech_sandbox_evasion[«<b>Técnica</b> – <b>T1497.002 Evasión de virtualización/sandbox</b><br/><b>Descripción</b>: intel.dll verifica bloqueos de archivos y mutex para detectar entornos de sandbox.»] class tech_sandbox_evasion technique tech_pe_injection[«<b>Técnica</b> – <b>T1055.002 Inyección de proceso: Inyección de ejecutable portable</b><br/><b>Descripción</b>: intel.dll y sangee.ini inyectan shellcode en Explorer.exe usando PoolParty Variant 7.»] class tech_pe_injection technique tech_apc_injection[«<b>Técnica</b> – <b>T1055.004 Inyección de proceso: Llamada de procedimiento asíncrona</b><br/><b>Descripción</b>: La inyección utiliza ZwSetIoCompletion con un handle de I/O Completion Port.»] class tech_apc_injection technique tech_exploit_defense[«<b>Técnica</b> – <b>T1211 Explotación para evasión de defensa</b><br/><b>Descripción</b>: Malware llama a SetTcpEntry para eliminar conexiones TCP de componentes de seguridad.»] class tech_exploit_defense technique tech_obfuscation[«<b>Técnica</b> – <b>T1027.005 Archivos ofuscados: Eliminación de indicadores</b><br/><b>Descripción</b>: Comprobaciones anti-sandbox y anti-análisis ocultan artefactos y previenen la ejecución en entornos de análisis.»] class tech_obfuscation technique tech_web_service[«<b>Técnica</b> – <b>T1102 Servicio web</b><br/><b>Descripción</b>: Payload final ValleyRat recuperado de servidores C2 remotos vía TCP estándar.»] class tech_web_service technique file_lineinstaller[«<b>Archivo</b> – <b>Nombre</b>: LineInstaller.exe<br/><b>Tipo</b>: Instalador NSIS»] class file_lineinstaller file file_inteldll[«<b>Archivo</b> – <b>Nombre</b>: intel.dll<br/><b>Tipo</b>: DLL usada para ejecución proxy e inyección»] class file_inteldll file file_sangee[«<b>Archivo</b> – <b>Nombre</b>: sangee.ini<br/><b>Propósito</b>: Configuración de rutinas de inyección»] class file_sangee file file_policyxml[«<b>Archivo</b> – <b>Nombre</b>: policyManagement.xml<br/><b>Propósito</b>: Define los detalles de la tarea programada»] class file_policyxml file file_updatedps1[«<b>Archivo</b> – <b>Nombre</b>: updated.ps1<br/><b>Propósito</b>: Script de persistencia PowerShell»] class file_updatedps1 file malware_valleyrat[«<b>Malware</b> – <b>Nombre</b>: ValleyRat<br/><b>Rol</b>: Payload final entregado a la víctima»] class malware_valleyrat malware process_regsvr32[«<b>Proceso</b> – <b>Nombre</b>: regsvr32.exe»] class process_regsvr32 process process_rundll32[«<b>Proceso</b> – <b>Nombre</b>: rundll32.exe»] class process_rundll32 process process_explorer[«<b>Proceso</b> – <b>Nombre</b>: Explorer.exe»] class process_explorer process network_c2[«<b>Red</b> – <b>Servidores C2</b>: 143.92.38.217:18852, 206.238.221.165:443»] class network_c2 network %% Conexiones tech_user_exec –>|inicia| file_lineinstaller file_lineinstaller –>|dispara| tech_masquerade tech_masquerade –>|habilita| tech_event_exec tech_event_exec –>|eleva a| process_regsvr32 process_regsvr32 –>|llama| file_inteldll file_inteldll –>|registrado vía| tech_regsvr32 tech_regsvr32 –>|también usa| process_rundll32 process_rundll32 –>|carga| file_inteldll tech_rundll32 –>|también carga| file_inteldll file_inteldll –>|crea| tech_sched_task tech_sched_task –>|crea tarea usando| file_policyxml tech_sched_task –>|ejecuta| file_updatedps1 file_updatedps1 –>|ejecuta comandos PowerShell para| tech_powershell tech_powershell –>|añade exclusiones y prepara| tech_sandbox_evasion tech_sandbox_evasion –>|verifica entorno antes de| tech_pe_injection tech_pe_injection –>|inyecta en| process_explorer tech_pe_injection –>|usa| tech_apc_injection tech_apc_injection –>|aprovecha| tech_exploit_defense tech_exploit_defense –>|interrumpe herramientas de seguridad| file_sangee tech_obfuscation –>|oculta artefactos para| malware_valleyrat malware_valleyrat –>|recuperado desde| network_c2 network_c2 –>|entrega payload vía| tech_web_service tech_web_service –>|entrega final a| process_explorer
Flujo de Ataque
Detecciones
Posible Creación de Tarea Programada (vía powershell)
Ver
Tarea Programada Sospechosa (vía auditoría)
Ver
Ejecución de Ruta Sospechosa Rundll32 Dll (vía creación_de_procesos)
Ver
Cambios Sospechosos en Preferencias de Windows Defender (vía powershell)
Ver
LOLBAS Regsvr32 (vía línea de comandos)
Ver
IOCs (IPDestino) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
IOCs (HashSha1) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
IOCs (IPOrigen) para detectar: Instalador Falso: En última instancia, infección de ValleyRAT
Ver
Detección de Instalador Falso Usando Exclusiones de Windows Defender y Tareas Programadas [Windows Powershell]
Ver
Ejecución de Simulación
Prerequisito: La Verificación de Telemetría y Baseline Pre-vuelo debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un atacante que ya ha comprometido una cuenta de bajo privilegio desea preparar una carga en el host comprometido mientras evade el escaneo antivirus. El atacante:- Usa PowerShell para añadir una exclusión en Windows Defender que cubra todo el C: disco, asegurando que cualquier binario malicioso colocado allí sea invisible para Defender.
- En la misma invocación de PowerShell, registra una tarea programada que lanzará la carga oculta (
C:Malwarepayload.ps1) cada vez que se inicie un proceso específico legítimo (p.ej.,explorer.exe) proporcionado persistencia. - Porque ambas acciones se combinan en una única línea de comandos, la telemetría coincide con
la selección1 y selección2de la regla Sigma, causando una alerta.
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Simulación de Instalador Falso – Activa Regla Sigma # ------------------------------------------------- # 1. Define ruta de exclusión (todo el disco C:) $exclusion = "C:" # 2. Define detalles de la tarea programada $taskName = "UpdateScheduler" $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-ExecutionPolicy Bypass -File C:Malwarepayload.ps1" $trigger = New-ScheduledTaskTrigger -AtLogOn # 3. Combina ambos comandos en una única línea de comando de PowerShell $combined = "Add-MpPreference -ExclusionPath `"$exclusion`"; Register-ScheduledTask -TaskName `"$taskName`" -Action `$action -Trigger `$trigger -Force" # 4. Invoca el comando combinado Invoke-Expression $combined -
Comandos de Limpieza:
# ------------------------------------------------- # Limpieza – Elimina la exclusión y la tarea programada # ------------------------------------------------- # Elimina la exclusión de Defender para C: Remove-MpPreference -ExclusionPath "C:" # Elimina la tarea programada Unregister-ScheduledTask -TaskName "UpdateScheduler" -Confirm:$false