La fuerza bruta de SQL abre la puerta al ransomware BlueSky
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un actor de amenaza utilizó envenenamiento SEO para distribuir malware BumbleBee a través de un instalador de ManageEngine OpManager trojanizado. Después de obtener el acceso inicial, el atacante desplegó AdaptixC2 para comando y control, se movió lateralmente mediante túneles RDP y SSH, y exfiltró más de 75 GB de datos sensibles. La intrusión terminó con el despliegue de ransomware Akira para encriptar la infraestructura del dominio.
Investigación
El análisis forense identificó el vector de infección inicial como un dominio similar, opmanager.pro, que servía un instalador MSI malicioso. Los investigadores rastrearon la cadena de ejecución desde la carga lateral de DLL de msimg32.dll hasta la inyección de shellcode de AdaptixC2 en la utilidad Windows Address Book. La revisión de la telemetría de la red y los artefactos del sistema de archivos también revelaron exfiltración de datos a gran escala a través de FileZilla y el uso de túneles SSH reversos para proxy RDP.
Mitigación
Las organizaciones deberían aplicar un filtrado web estricto para bloquear dominios recién registrados o similares y monitorear comportamientos sospechosos de carga lateral de DLL. Limitar los privilegios administrativos y detectar la creación no autorizada de cuentas o servicios de dominio también es crítico. Además, un filtrado de salida fuerte y la monitorización de túneles SSH o RDP no autorizados pueden ayudar a prevenir tanto el movimiento lateral como la exfiltración de datos.
Respuesta
Si se detecta esta actividad, aísle inmediatamente los sistemas afectados, especialmente los controladores de dominio y servidores de respaldo, para detener la propagación de ransomware. Termine todas las sesiones de acceso remoto no autorizadas, incluidos los túneles SSH y las instancias de RustDesk. Realice un restablecimiento completo de credenciales para todas las cuentas de dominio, prestando especial atención a los administradores de la empresa, y comience la recuperación utilizando copias de seguridad offline e inmutables.
Flujo de Ataque
Detecciones
Uso Suspicaz de WMIC (vía cmdline)
Ver
Referencia Suspeciosa de Powershell Shadowcopy (vía cmdline)
Ver
Posible Eliminación de Copias de Sombra vía WMI (vía powershell)
Ver
Conexión Saliente Sospechosa por Proceso Poco Común (vía network_connection)
Ver
Solicitud DNS Realizada Por Proceso Poco Común (vía dns_query)
Ver
Reenvío de Puerto SSH Sospechoso [Windows] (vía cmdline)
Ver
Posible Enumeración de Sistema (vía cmdline)
Ver
Descubrimiento Sospechoso de Confianzas de Dominio (vía cmdline)
Ver
Posible Volcado de Credenciales Usando Comsvcs.dll (vía cmdline)
Ver
Ejecución Sospechosa de PSQL (vía cmdline)
Ver
Actividad Sospechosa de la Herramienta Wbadmin (vía cmdline)
Ver
Posible BYOVD – Ataque de Traer tu Propio Controlador Vulnerable (vía auditoría)
Ver
Posible Actividad de Bits Transfer (vía powershell)
Ver
Posible Ejecución por Uso de Nombre de Script Corto (vía cmdline)
Ver
Posible Script de Powershell Conteniendo Lolbin (vía powershell)
Ver
Creación de Servicio de Software de Acceso/Administración Remota (vía sistema)
Ver
Software Alternativo de Acceso/Administración Remota (vía process_creation)
Ver
Posible Enumeración o Manipulación de Cuentas o Grupos (vía cmdline)
Ver
Ejecución de Procesos del Sistema desde Rutas Atípicas (vía process_creation)
Ver
Posible Msiexec Ejecutando Archivos en Directorio No Común (vía cmdline)
Ver
Detectar Actividad de RustDesk y Ransomware Akira [Sistema Windows]
Ver
Detección de Ejecución e Inyección de BumbleBee y AdaptixC2 [Creación de Procesos Windows]
Ver
Resumen Ejecutivo
- ID de Caso de Prueba: TC-20250522-K9L2P
- TTPs: T1003.001, T1003.003, T1018, T1021.001, T1021.003, T1027.010, T1033, T1036, T1039, T1041, T1046, T1047, T1048.001, T1055, T1059.001, T1059.003, T1069.001, T1069.002, T1070.004, T1071.001, T1082, T1083, T1087.001, T1087.002, T1090, T1135, T1136, T1189, T1204.002, T1219, T1482, T1486, T1490, T1543.003, T1555, T1568.002, T1569.002, T1574.001
- Resumen de Lógica de Regla de Detección: La regla se activa si
rustdesk.exees generado porservices.exeo silocker.exees ejecutado con la línea de comandos que contiene «Copias de Sombra de Volumen». - Lenguaje/Formato de Regla de Detección: yaml
- Entorno de Seguridad Objetivo: SO Windows con Sysmon habilitado, dirigido a un SIEM capaz de procesar la telemetría del Evento ID 1 de Sysmon (Creación de Procesos).
- Puntuación de Resiliencia (1-5): 2
- Justificación: La regla depende en gran medida de nombres de archivos específicos, codificados (
rustdesk.exeandlocker.exe). Un adversario puede eludir esto fácilmente renombrando sus binarios. Además, la detección de Akira está limitada a una cadena específica en la línea de comandos, que puede ser ofuscada. - Conclusiones Clave: La regla detecta efectivamente el uso «de fábrica» de estas herramientas pero falla ante cualquier técnica básica de evasión como el cambio de nombre de binarios o la manipulación de argumentos de la línea de comandos.
- Recomendación: Pasar de la detección basada en nombres de archivos a indicadores de comportamiento, como la monitorización de instalaciones de servicios no autorizados, conexiones de red inesperadas desde herramientas de escritorio remoto y la eliminación de copias de sombra a través de
vssadminorwmicindependientemente del nombre del proceso padre.
## Entorno de Simulación y Contexto
- TTPs Bajo Prueba:
- T1003.001: Volcado de Credenciales de OS: Memoria de LSASS
- T1059.001: Intérprete de Comandos y Scripts: PowerShell
- T1490: Inhibir la Recuperación del Sistema (Eliminación de Copias de Sombra)
- T1543.003: Crear o Modificar Proceso de Sistema: Servicio de Windows
- Contexto y Relevancia de TTP: La simulación tiene como objetivo replicar el perfil de doble amenaza: el uso de RustDesk para acceso remoto persistente (instalado como servicio) y la ejecución de comandos estilo ransomware Akira para inhibir la recuperación del sistema al apuntar a las Copias de Sombra de Volumen.
- Entorno Objetivo:
- OS: Windows 10/11 o Servidor Windows
- Registros: Sysmon (específicamente ID de Evento 1: Creación de Procesos)
- Pila de Seguridad: SIEM (por ejemplo, Splunk, Sentinel o ELK)
## Telemetría y Comprobación Previa de Base de Línea
Razón: Antes de simular el ataque, debemos confirmar que el host objetivo está configurado para generar los registros necesarios, que estos registros son ingeridos por el SIEM, y que la regla de detección no se activa en actividad benigna. Sin esta validación, cualquier resultado de prueba es poco fiable.
-
1. Instrucciones de Configuración de Telemetría:
-
- Instalar Sysmon en la máquina Windows objetivo.
-
- Aplicar un archivo de configuración (por ejemplo, la config de SwiftOnSecurity) que asegure que la Creación de Procesos (Evento ID 1) se capture con argumentos de línea de comandos completos.
-
- Asegúrese de que el registro de eventos de Sysmon se esté reenviando a su SIEM a través de Winlogbeat, Splunk Universal Forwarder o un agente similar.
-
-
2. Ingestión y Validación de Base de Línea:
-
Acción (Telemetría Benigna): Ejecutar un comando estándar de PowerShell para verificar la información del sistema, lo que genera telemetría de creación de procesos sin activar patrones relacionados con el ransomware.
Get-ComputerInfo | Select-Object CsName, OsArchitecture -
Consulta de Validación (Ingestión):
// Consulta KQL para verificar la ingestión de Evento ID 1 de Sysmon Sysmon | where EventID == 1 and Image contains "powershell.exe" | take 10
-
## Ejecución de Simulación
Requisito previo: La Comprobación Previa de Telemetría y Base de Línea debe haber pasado.
Razón: Esta sección detalla la ejecución precisa de la técnica de adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y buscar generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario comienza estableciendo persistencia y acceso remoto usando RustDesk. Para imitar una instalación de servicio, el adversario simulará el comportamiento donde un administrador de servicios (
services.exe) genera el binario de acceso remoto. A continuación, el adversario ejecuta la carga útil de ransomware Akira. El objetivo de esta carga útil es destruir las copias de seguridad del sistema para prevenir la recuperación; lo hace llamando a un binario llamadolocker.execon una instrucción de línea de comandos específica para eliminar ‘Copias de Sombra de Volumen’. Esto imita la fase de alto impacto de un ataque de extorsión. -
Script de Prueba de Regresión:
# --- INICIO DE SIMULACIÓN --- # Parte 1: Simular Ejecución de Servicio RustDesk # Simulamos el comportamiento donde services.exe genera rustdesk.exe. # Dado que no podemos imitar fácilmente el ParentProcessID de services.exe sin controladores de kernel, # simularemos la creación de artefactos y luego usaremos una herramienta como 'Process Hacker' # o un script para simular la telemetría específica si es posible, # pero para este script, crearemos el archivo y desencadenaremos un proceso. $rustdeskPath = "$env:TEMPrustdesk.exe" New-Item -Path $rustdeskPath -ItemType File -Force # Nota: Para activar la regla EXACTA 'ParentImage|endswith: services.exe', # se requiere una instalación de servicio real. Write-Host "[+] Creando binario simulado de RustDesk en $rustdeskPath" # Parte 2: Simular Actividad de Ransomware Akira $lockerPath = "$env:TEMPlocker.exe" New-Item -Path $lockerPath -ItemType File -Force Write-Host "[+] Creando 'locker.exe' simulado de Akira en $lockerPath" # Activación de la lógica de detección de Akira vía contiene CommandLine 'Volume Shadow Copies' # Usamos start-process para asegurar que la línea de comandos sea capturada por Sysmon Start-Process -FilePath $lockerPath -ArgumentList "/delete Volume Shadow Copies" -NoNewWindow Write-Host "[!] Comandos de simulación ejecutados. Verifique alertas 'locker.exe' en SIEM." # --- FIN DE SIMULACIÓN --- -
Comandos de Limpieza:
# --- INICIO DE LIMPIEZA --- Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPlocker.exe" -Force -ErrorAction SilentlyContinue Write-Host "[+] Limpieza completa." # --- FIN DE LIMPIEZA ---