El Paradojo Cibernético de Irán: APTs Degradados, Proxies en Auge, y Borradores de Bootkit
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
La actividad cibernética vinculada a Irán se está alejando cada vez más de los equipos APT establecidos hacia operadores proxy que utilizan limpiadores estilo bootkit, explotan una gama cada vez mayor de CVEs, e incluso combinan operaciones cibernéticas con la interrupción física de la infraestructura en la nube. Los grupos recientemente rastreados como Rusty Boots y MoKhargosh han demostrado persistencia a nivel de bootkit, mientras que HYDRO KITTEN se ha centrado en PLCs de Rockwell y dispositivos de red expuestos a Internet a través de métodos de intrusión basados en credenciales. Los ataques físicos contra centros de datos en la nube de la región del Golfo expanden aún más el riesgo a un dominio híbrido cibernético-físico. El informe subraya la importancia de la validación de la integridad del firmware y la detección basada en el comportamiento en entornos OT.
Investigación
El informe destaca tres desarrollos importantes. Primero, Rusty Boots y MoKhargosh han demostrado la capacidad de desplegar limpiadores con persistencia estilo bootkit. Segundo, HYDRO KITTEN ha explotado múltiples CVEs que afectan a los sistemas Rockwell, FortiGate, SonicWall, Ivanti, PAN-OS y OpenSSH. Tercero, UNC6446 ha utilizado malware personalizado en C# y Golang, incluidos DUSTYPROXY y ERIESNAKE.GO, comunicándose sobre HTTP sin encriptar a través del puerto 443. El informe también hace referencia a ataques físicos dirigidos a la infraestructura en la nube en Bahréin y Dubái.
Mitigación
Las organizaciones deben aplicar parches a todos los CVEs referenciados en cortafuegos, activos OT y servicios SSH, mientras aplican un arranque seguro y verificaciones regulares de integridad del firmware. Los equipos defensivos deben monitorear la actividad de escritura en disco sin procesar y las modificaciones al MBR o VBR, bloquear el tráfico HTTP sin encriptar sobre el puerto 443, revisar las claves de ejecución de registro para ejecutables desconocidos e implementar monitoreo de comportamiento OT para detectar cambios de punto de ajuste en PLC fuera de los períodos de mantenimiento aprobados.
Respuesta
Los defensores deben bloquear inmediatamente todas las direcciones IP, dominios y hashes de archivos divulgados en DNS, proxy y controles de endpoint. El contenido de detección debe desplegarse para HTTP sin encriptar a través de TCP/443, fallas de integridad de arranque seguro, nuevas entradas de claves de ejecución de registro y comportamiento sospechoso en la autenticación de PLC. La búsqueda de amenazas debe centrarse en las firmas de malware listadas, así como en signos de acceso pre-posicionado, incluidos largos períodos de inactividad seguidos de operaciones abruptas relacionadas con OT.
Flujo de Ataque
Detecciones
Puntos Posibles de Persistencia [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Posible Enumeración del Sistema (via cmdline)
Ver
Proceso Sospechoso Imitando un Proceso del Sistema Fue Ejecutado (via cmdline)
Ver
Posible Descubrimiento de Información del Sistema Usando el Módulo Wmi Powershell (via powershell)
Ver
IoCs (HashMd5) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
IoCs (SourceIP) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
IoCs (DestinationIP) para detectar: EL PARADIGMA CIBERNÉTICO DE IRÁN: APTS DEGRADADOS, PROXIES EMPODERADOS Y EL ASCENSO DE LOS LIMPIADORES BOOTKIT
Ver
Explotación de HYDRO KITTEN de Rockwell RSLogix 5000 [Cortafuegos]
Ver
Detectar Tráfico HTTP Anómalo y Comportamiento de Relay Proxy Indicando Actividad de ERIESNAKE.GO y DUSTYPROXY [Proxy]
Ver
Detección de Ejecución de PowerShell por ERIESNAKE.GO por Procesos Específicos [Windows Powershell]
Ver
Persistencia de DUSTYPROXY mediante Clave de Ejecución de Registro [Evento de Registro de Windows]
Ver
Ejecución de Simulación
Requisito previo: El Chequeo Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa de Ataque & Comandos:
- Recolección de Credenciales (T1078) – El atacante, habiendo comprometido una cuenta de servicio de bajo privilegio, obtiene las credenciales de servicio «Rockwell» de un almacén de credenciales inseguro.
- Inicio de sesión interactivo remoto (T1078, LogonType 10) – Usando esas credenciales, el atacante se conecta a la estación de trabajo de gestión de PLC objetivo vía RDP, generando un evento de inicio de sesión exitoso (EventID 4624, LogonType 10) que coincide con la
selección1. - Intento de Explotación (T1190 / T1542.003) – Mientras está conectado, el atacante ejecuta una solicitud HTTP creada contra el servicio web RSLogix 5000, activando el bypass de autenticación (CVE‑2021‑22681). El servicio registra un evento de autenticación fallida (EventID 4625) con una cadena de motivo de falla que contiene “CVE‑2021‑22681”, satisfaciendo
selección2. - Post-Explotación (T1059.001, T1071.001, T1090.002) – Se establece un shell inverso de PowerShell a través de un proxy externo para descargar la carga maliciosa, pero estos pasos no son necesarios para que la regla se active.
-
Script de Prueba de Regresión: El siguiente script automatiza los pasos 2 y 3 para producir la telemetría exacta.
# ============================== # Prueba de Explotación de Hydro Kitten # ============================== # 1️⃣ Variables – reemplazar con los valores de su entorno $targetHost = "10.0.0.50" # IP del servidor RSLogix $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # Contraseña conocida (o capturada) $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Establecer una sesión remota interactiva (RDP) usando las credenciales de Rockwell $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] Iniciando sesión RDP a $targetHost con $rockwellUser..." # Start-Process crea una nueva sesión de inicio – esto genera EventID 4624 con LogonType 10 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # Permitir tiempo para que se registre el inicio de sesión # 3️⃣ Activar el intento de bypass de autenticación CVE‑2021‑22681 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] Enviando solicitud malformada para activar detección CVE..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] Solicitud de explotación enviada. Verificar SIEM para EventID 4625 que contenga 'CVE-2021-22681'." -
Comandos de Limpieza: Eliminar la sesión de RDP y cualquier artefacto temporal.
# Terminar el proceso del cliente RDP Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (Opcional) Limpiar el historial de PowerShell para reducir la huella forense Clear-History