SOC Prime Bias: Crítico

15 Apr 2026 14:47 UTC

Dragon Boss Deja Más de 25,000 Puntos Finales Expuestos

Author Photo
SOC Prime Team linkedin icon Seguir
Dragon Boss Deja Más de 25,000 Puntos Finales Expuestos
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Una aplicación potencialmente no deseada firmada por Dragon Boss Solutions abusó de un flujo de trabajo de actualización legítimo para descargar y ejecutar silenciosamente cargas útiles MSI y PowerShell que deshabilitaron las protecciones antivirus y establecieron persistencia a través de suscripciones de eventos WMI y tareas programadas. Debido a que el actualizador se comunicaba con dominios no registrados que podrían ser reclamados por cualquier persona, el software creó efectivamente una oportunidad de cadena de suministro para la entrega de código arbitrario. Los investigadores observaron más de 25,000 endpoints conectándose a esta infraestructura, incluidos sistemas en varios sectores de alto valor.

Investigación

Huntress descubrió artefactos de persistencia basados en WMI y un aumento en la creación de tareas programadas, luego rastreó la actividad hasta un ejecutable firmado llamado RaceCarTwo.exe que lanzó un instalador MSI. El instalador extrajo un script de PowerShell llamado ClockRemoval.ps1, que terminaba procesos antivirus, bloqueaba el acceso a dominios de actualización de AV, agregaba exclusiones para Microsoft Defender y se reinstalaba repetidamente para mantener el acceso. Los investigadores también encontraron que dominios no registrados, incluyendo chromsterabrowser.com, estaban siendo utilizados como la fuente principal de actualización, lo que significa que cualquier parte externa podría registrar esos dominios y entregar sus propias cargas.

Mitigación

Para detener más abusos, el equipo de investigación registró los dominios expuestos y los invirtió, cortando efectivamente el camino de actualización malicioso. También documentaron las suscripciones de eventos WMI relacionadas, las tareas programadas y los cambios en el registro para que los defensores pudieran identificar y eliminar los componentes afectados. Las organizaciones deberían bloquear los dominios conocidos y monitorear los nombres específicos de las tareas y la actividad del consumidor WMI asociados con esta campaña para reducir el riesgo de compromiso continuo.

Respuesta

Los equipos de seguridad deberían detectar la creación de tareas programadas como ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, y RemoveClockPeriodic. Las alertas también deberían activarse en suscripciones de eventos WMI que contengan MbRemoval or MbSetup. Los defensores deberían monitorear ejecutables firmados por Dragon Boss Solutions, buscar la presencia de ClockRemoval.ps1 en directorios WMILoad, revisar archivos de hosts para entradas que bloqueen dominios de proveedores de antivirus e investigar exclusiones inesperadas de Windows Defender en sistemas impactados.

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La verificación previa de telemetría y línea base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un adversario ha obtenido el legítimo RaceCarTwo.exe firmado por Dragon Boss Solutions LLC. Aprovechan el estatus de confianza del binario para sortear la lista blanca de aplicaciones. Primero, despliegan un MSI malicioso (Setup.msi) que deja un servicio privilegiado e instala una tarea programada para lograr T1546.016. A continuación, ejecutan un script de PowerShell (ClockRemoval.ps1) que deshabilita o desinstala el producto AV de punto final, reflejando T1059.001. Ambas acciones son realizadas desde el mismo proceso, asegurando que la regla de detección vea los patrones exactos de la línea de comandos.

    1. Desplegar MSI malicioso:

      Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
                    -ArgumentList "Setup.msi" `
                    -Wait
    2. Ejecutar script PowerShell de desactivación de AV:

      Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" `
                    -ArgumentList "ClockRemoval.ps1" `
                    -Wait
  • Script de Prueba de Regresión:
    El siguiente script automatiza los dos pasos en una sola ejecución, reproduciendo la misma telemetría que la regla Sigma espera.

    # -------------------------------------------------
    # Simulación de la cadena de ejecución maliciosa de DragonBoss
    # -------------------------------------------------
    $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe"
    
    # 1. Instalar MSI malicioso
    Write-Host "[*] Desplegando MSI malicioso (Setup.msi)…"
    Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait
    
    # 2. Ejecutar script PowerShell de desactivación de AV
    Write-Host "[*] Ejecutando ClockRemoval.ps1 mediante el mismo binario…"
    Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait
    
    Write-Host "[+] Simulación completa. Verifique alertas en el SIEM."
  • Comandos de Limpieza:
    Elimine cualquier artefacto creado durante la simulación para restaurar el host a su estado previo a la prueba.

    # -------------------------------------------------
    # Limpieza para la simulación de DragonBoss
    # -------------------------------------------------
    # Eliminar el producto MSI instalado (reemplazar ProductCode con el GUID real)
    $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
    try {
        Write-Host "[*] Desinstalando MSI malicioso..."
        msiexec /x $productCode /quiet /norestart
    } catch { Write-Warning "La desinstalación del MSI falló o el producto no está presente." }
    
    # Eliminar el script PowerShell si fue escrito en disco por el MSI
    $scriptPath = "$env:ProgramDataClockRemoval.ps1"
    if (Test-Path $scriptPath) {
        Write-Host "[*] Eliminando ClockRemoval.ps1..."
        Remove-Item $scriptPath -Force
    }
    
    Write-Host "[+] Limpieza completa."