La campaña StrikeShark entrega Cobalt Strike a través de SharkLoader
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
StrikeShark es una campaña de amenazas recientemente identificada que utiliza un cargador de malware personalizado llamado SharkLoader para entregar Cobalt Strike Beacons. La operación se basa en múltiples métodos de acceso inicial, incluyendo la explotación de aplicaciones expuestas a internet y la entrega basada en droppers. El malware también utiliza técnicas avanzadas de evasión, como la carga lateral de DLL y el enganche de API para evadir las defensas de seguridad.
Investigación
La investigación identificó infecciones de SharkLoader en varios países y sectores industriales, incluyendo entidades diplomáticas y organizaciones de desarrollo de software. Los investigadores rastrearon toda la cadena de intrusión, desde la explotación de fallas como ProxyLogon hasta la ejecución de la carga útil final de Cobalt Strike. El estudio también describió el uso técnico de «Perfect DLL Hijacking» y el sofisticado enganche de API diseñado para reducir la detección.
Mitigación
Las organizaciones deben priorizar el parcheo de sistemas expuestos a internet, especialmente Microsoft Exchange, SharePoint y dispositivos de red expuestos. Desplegar capacidades robustas de detección y respuesta en el endpoint puede ayudar a descubrir la carga lateral sospechosa de DLL y la creación no autorizada de tareas programadas. Los equipos de seguridad también deben monitorear relaciones de procesos padre-hijo anormales, como svchost.exe lanzando procesos inesperados.
Respuesta
Si se detecta esta actividad, aísle los sistemas afectados de inmediato para detener el movimiento lateral y el tráfico de comando y control. Realice una investigación forense completa para determinar el punto de acceso inicial y el alcance general del compromiso. Restablezca las credenciales de todas las cuentas potencialmente afectadas, especialmente los usuarios con privilegios, y revise Active Directory para detectar cambios no autorizados o nuevas membresías en grupos asignadas.
Flujo de Ataque
Detecciones
Actividad Sospechosa de Ntdsutil (vía línea de comandos)
Ver
Posible Intento de Enumeración de Usuarios / Grupos (vía powershell)
Ver
Posible Enumeración o Manipulación de Cuenta o Grupo (vía línea de comandos)
Ver
Posible Descubrimiento de Configuración de Red del Sistema (vía línea de comandos)
Ver
Posible Enumeración del Sistema (vía línea de comandos)
Ver
Posible Enumeración de Servicios (vía línea de comandos)
Ver
Tarea Programada Sospechosa Bajo Usuario del Sistema (vía línea de comandos)
Ver
Puntos de Persistencia Posibles [ASEPs – Software/Colmena NTUSER] (vía evento de registro)
Ver
Ejecución de Procesos del Sistema desde Rutas No Típicas (vía process_creation)
Ver
Enumeración de Información de Red y Sistema por la Campaña StrikeShark [Registro de Eventos de Seguridad de Microsoft Windows]
Ver
Detección del Uso de SystemSettings.exe por SharkLoader y Enumeración de Active Directory [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Control Preliminar de Telemetría y Línea Base debe haberse aprobado.
Rationale: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario busca establecer un punto de apoyo utilizando los métodos característicos de la campaña SharkLoader. Primero, el atacante simula el subproducto de la carga lateral de DLL iniciando una versión renombrada de un binario legítimo como
SystemSettings.exe. Una vez que el proceso está en ejecución, el atacante intenta obtener conocimiento situacional enumerando el entorno de dominio. Para imitar el observado TTP, el atacante utiliza PowerShell para consultar Active Directory por objetos de usuario y computadora, lo cual es un paso común durante la fase de reconocimiento de un compromiso de dominio. -
Guión de Prueba de Regresión:
# Script de Simulación para la Detección de SharkLoader y Enumeración de AD Write-Host "[*] Comenzando Simulación..." -ForegroundColor Cyan # 1. Simular Ejecución de Proceso SharkLoader a través de SystemSettings.exe # Usamos notepad.exe como proxy para simular el comportamiento del binario cargado lateralmente Start-Process "notepad.exe" -ArgumentList "/c "Esto es un SystemSettings.exe simulado"" -WindowStyle Hidden # Nota: En un entorno real, el archivo se nombraría SystemSettings.exe. # Para esta prueba, simulamos la creación de la entrada de proceso. # 2. Simular Enumeración Maliciosa de Active Directory Write-Host "[*] Simulando Enumeración de AD..." -ForegroundColor Yellow # Usando cmdlets estándar que la regla busca específicamente Get-ADUser -Filter * | Select-Object -First 5 Get-ADComputer -Filter * | Select-Object -First 5 Get-ADGroup -Filter * | Select-Object -First 5 Write-Host "[+] Comandos de Simulación Ejecutados." -ForegroundColor Green -
Comandos de Limpieza:
# Script de limpieza para asegurar que no queden procesos residuales Stop-Process -Name "notepad" -ErrorAction SilentlyContinue Write-Host "[*] Limpieza Completa." -ForegroundColor Cyan