Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una aplicación potencialmente no deseada firmada por Dragon Boss Solutions abusó de un flujo de trabajo de actualización legítimo para descargar y ejecutar silenciosamente cargas útiles MSI y PowerShell que deshabilitaron las protecciones antivirus y establecieron persistencia a través de suscripciones de eventos WMI y tareas programadas. Debido a que el actualizador se comunicaba con dominios no registrados que podrían ser reclamados por cualquier persona, el software creó efectivamente una oportunidad de cadena de suministro para la entrega de código arbitrario. Los investigadores observaron más de 25,000 endpoints conectándose a esta infraestructura, incluidos sistemas en varios sectores de alto valor.
Investigación
Huntress descubrió artefactos de persistencia basados en WMI y un aumento en la creación de tareas programadas, luego rastreó la actividad hasta un ejecutable firmado llamado RaceCarTwo.exe que lanzó un instalador MSI. El instalador extrajo un script de PowerShell llamado ClockRemoval.ps1, que terminaba procesos antivirus, bloqueaba el acceso a dominios de actualización de AV, agregaba exclusiones para Microsoft Defender y se reinstalaba repetidamente para mantener el acceso. Los investigadores también encontraron que dominios no registrados, incluyendo chromsterabrowser.com, estaban siendo utilizados como la fuente principal de actualización, lo que significa que cualquier parte externa podría registrar esos dominios y entregar sus propias cargas.
Mitigación
Para detener más abusos, el equipo de investigación registró los dominios expuestos y los invirtió, cortando efectivamente el camino de actualización malicioso. También documentaron las suscripciones de eventos WMI relacionadas, las tareas programadas y los cambios en el registro para que los defensores pudieran identificar y eliminar los componentes afectados. Las organizaciones deberían bloquear los dominios conocidos y monitorear los nombres específicos de las tareas y la actividad del consumidor WMI asociados con esta campaña para reducir el riesgo de compromiso continuo.
Respuesta
Los equipos de seguridad deberían detectar la creación de tareas programadas como ClockSetupWmiAtBoot, DisableClockServicesFirst, DisableClockAtStartup, RemoveClockAtLogon, y RemoveClockPeriodic. Las alertas también deberían activarse en suscripciones de eventos WMI que contengan MbRemoval or MbSetup. Los defensores deberían monitorear ejecutables firmados por Dragon Boss Solutions, buscar la presencia de ClockRemoval.ps1 en directorios WMILoad, revisar archivos de hosts para entradas que bloqueen dominios de proveedores de antivirus e investigar exclusiones inesperadas de Windows Defender en sistemas impactados.
graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef process fill:#ffeb99 classDef file fill:#c0ffc0 classDef technique fill:#dddddd %% Technique nodes tech_t1210[«<b>Técnica</b> – T1210 Explotación de Servicios Remotos<br/><b>Descripción</b>: Un mecanismo de actualización personalizado contacta URLs remotas para descargar e instalar cargas MSI maliciosas.»]:::technique tech_t1218_007[«<b>Técnica</b> – T1218.007 Ejecución Proxy de Binarios del Sistema: Msiexec<br/><b>Descripción</b>: Msiexec.exe se utiliza para instalar silenciosamente un paquete MSI malicioso.»]:::technique tech_t1059_001[«<b>Técnica</b> – T1059.001 Intérprete de Comandos y Scripts: PowerShell<br/><b>Descripción</b>: PowerShell se utiliza para ejecutar el script ClockRemoval que desactiva productos de seguridad y modifica configuraciones del sistema.»]:::technique tech_t1546_003[«<b>Técnica</b> – T1546.003 Ejecución Activada por Evento: Suscripción de Eventos WMI<br/><b>Descripción</b>: Suscripciones persistentes de WMI activan scripts maliciosos de PowerShell cuando se inician nuevos procesos.»]:::technique tech_t1053[«<b>Técnica</b> – T1053 Tarea/Trabajo Programado<br/><b>Descripción</b>: Se crean tareas programadas para arranque, inicio de sesión y ejecución periódica para mantener persistencia.»]:::technique tech_t1489[«<b>Técnica</b> – T1489 Detención de Servicios<br/><b>Descripción</b>: Los servicios de productos de seguridad se detienen y deshabilitan para evitar protección.»]:::technique tech_t1562[«<b>Técnica</b> – T1562 Deteriorar Defensas<br/><b>Descripción</b>: La carga elimina procesos de seguridad, bloquea dominios de actualización y elimina entradas del registro.»]:::technique tech_t1564_012[«<b>Técnica</b> – T1564.012 Ocultar Artefactos: Exclusiones de Archivo/Ruta<br/><b>Descripción</b>: Se edita el archivo hosts y se agregan exclusiones de Windows Defender para ocultar actividad maliciosa.»]:::technique tech_t1070_004[«<b>Técnica</b> – T1070.004 Eliminación de Indicadores: Borrado de Archivos<br/><b>Descripción</b>: Se eliminan archivos AV y claves de registro para borrar evidencias.»]:::technique %% Action and artifact nodes action_contact_domain[«<b>Acción</b> – Contactar dominio no registrado<br/><b>Dominio</b>: worldwidewebframework3.com»]:::action file_malicious_msi[«<b>Archivo</b> – Carga MSI maliciosa»]:::file tool_msiexec[«<b>Herramienta</b> – Msiexec.exe»]:::tool script_clockremoval[«<b>Proceso</b> – ClockRemoval.ps1 (PowerShell)»]:::process persistence_wmi[«<b>Acción</b> – Crear suscripción de eventos WMI»]:::action persistence_schtask[«<b>Acción</b> – Registrar tareas programadas»]:::action action_service_stop[«<b>Acción</b> – Detener y deshabilitar servicios de seguridad»]:::action action_impair_defenses[«<b>Acción</b> – Deteriorar defensas ampliamente»]:::action action_host_modification[«<b>Acción</b> – Modificar archivo hosts y añadir exclusiones de Defender»]:::action action_file_deletion[«<b>Acción</b> – Eliminar archivos AV y claves de registro»]:::action %% Connections showing flow action_contact_domain –>|downloads| file_malicious_msi file_malicious_msi –>|installed via| tool_msiexec tool_msiexec –>|executes| script_clockremoval script_clockremoval –>|creates| persistence_wmi script_clockremoval –>|creates| persistence_schtask script_clockremoval –>|stops| action_service_stop script_clockremoval –>|impairs| action_impair_defenses script_clockremoval –>|modifies| action_host_modification script_clockremoval –>|deletes| action_file_deletion %% Linking actions to techniques action_contact_domain –>|uses| tech_t1210 tool_msiexec –>|uses| tech_t1218_007 script_clockremoval –>|uses| tech_t1059_001 persistence_wmi –>|uses| tech_t1546_003 persistence_schtask –>|uses| tech_t1053 action_service_stop –>|uses| tech_t1489 action_impair_defenses –>|uses| tech_t1562 action_host_modification –>|uses| tech_t1564_012 action_file_deletion –>|uses| tech_t1070_004 %% Class assignments class action_contact_domain action class file_malicious_msi file class tool_msiexec tool class script_clockremoval process class persistence_wmi action class persistence_schtask action class action_service_stop action class action_impair_defenses action class action_host_modification action class action_file_deletion action
Flujo de Ataque
Detecciones
Ejecución de Taskkill Sospechosa (vía línea de comandos)
Ver
Powershell Ejecutando Archivo En Directorio Sospechoso Usando Política de Ejecución Bypass (vía línea de comandos)
Ver
LOLBAS Schtasks (vía línea de comandos)
Ver
LOLBAS MsiExec Spawn Shell (vía línea de comandos)
Ver
IOCs (HashSha256) para detectar: Cuando los PUPs Crecen Colmillos: Dragon Boss Solutions Dejó una Puerta Abierta en Más de 25,000 Endpoints
Ver
Modificación de Política de Ejecución de PowerShell de Dragon Boss Solutions [Windows PowerShell]
Ver
Detección de Ejecuciones Maliciosas de Dragon Boss Solutions LLC [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito previo: La verificación previa de telemetría y línea base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un adversario ha obtenido el legítimo RaceCarTwo.exe firmado por Dragon Boss Solutions LLC. Aprovechan el estatus de confianza del binario para sortear la lista blanca de aplicaciones. Primero, despliegan un MSI malicioso (Setup.msi) que deja un servicio privilegiado e instala una tarea programada para lograr T1546.016. A continuación, ejecutan un script de PowerShell (ClockRemoval.ps1) que deshabilita o desinstala el producto AV de punto final, reflejando T1059.001. Ambas acciones son realizadas desde el mismo proceso, asegurando que la regla de detección vea los patrones exactos de la línea de comandos.-
Desplegar MSI malicioso:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "Setup.msi" ` -Wait -
Ejecutar script PowerShell de desactivación de AV:
Start-Process -FilePath "C:Program FilesDragonBossRaceCarTwo.exe" ` -ArgumentList "ClockRemoval.ps1" ` -Wait
-
-
Script de Prueba de Regresión:
El siguiente script automatiza los dos pasos en una sola ejecución, reproduciendo la misma telemetría que la regla Sigma espera.# ------------------------------------------------- # Simulación de la cadena de ejecución maliciosa de DragonBoss # ------------------------------------------------- $binaryPath = "C:Program FilesDragonBossRaceCarTwo.exe" # 1. Instalar MSI malicioso Write-Host "[*] Desplegando MSI malicioso (Setup.msi)…" Start-Process -FilePath $binaryPath -ArgumentList "Setup.msi" -Wait # 2. Ejecutar script PowerShell de desactivación de AV Write-Host "[*] Ejecutando ClockRemoval.ps1 mediante el mismo binario…" Start-Process -FilePath $binaryPath -ArgumentList "ClockRemoval.ps1" -Wait Write-Host "[+] Simulación completa. Verifique alertas en el SIEM." -
Comandos de Limpieza:
Elimine cualquier artefacto creado durante la simulación para restaurar el host a su estado previo a la prueba.# ------------------------------------------------- # Limpieza para la simulación de DragonBoss # ------------------------------------------------- # Eliminar el producto MSI instalado (reemplazar ProductCode con el GUID real) $productCode = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}" try { Write-Host "[*] Desinstalando MSI malicioso..." msiexec /x $productCode /quiet /norestart } catch { Write-Warning "La desinstalación del MSI falló o el producto no está presente." } # Eliminar el script PowerShell si fue escrito en disco por el MSI $scriptPath = "$env:ProgramDataClockRemoval.ps1" if (Test-Path $scriptPath) { Write-Host "[*] Eliminando ClockRemoval.ps1..." Remove-Item $scriptPath -Force } Write-Host "[+] Limpieza completa."