SOC Prime Bias: Alto

26 Nov 2025 17:30
newspaper icon Wazuh

Ransomware Funklocker: Detección y Respuesta con Wazuh

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Ransomware Funklocker: Detección y Respuesta con Wazuh
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El ransomware Funklocker, vinculado al grupo FunkSec, apunta a entornos Windows y utiliza la generación de código asistida por IA para crear nuevas variantes. Se basa en técnicas de vivir de la tierra, abusando de herramientas como PowerShell, taskkill, sc y vssadmin para desactivar controles de seguridad, eliminar copias de sombra y cifrar datos con la extensión .funksec. El artículo explica cómo detectar estos comportamientos usando Sysmon más reglas personalizadas de Wazuh, y cómo automatizar la limpieza a través de análisis integrados de YARA.

Investigación

El análisis explica cómo Funklocker reduce el registro de eventos de Seguridad y Aplicación de Windows, deshabilita la protección en tiempo real de Windows Defender, evita la política de ejecución de PowerShell, termina procesos, detiene servicios críticos y borra copias de seguridad de Volumen Shadow Copy. Se detonaron muestras de prueba en un host de laboratorio con Windows 11 con el agente de Wazuh instalado y Sysmon afinado para capturar toda la telemetría relevante.

Mitigación de Ransomware Funklocker

Los pasos de mitigación recomendados incluyen reforzar las políticas de ejecución de PowerShell, aplicar el principio de privilegio mínimo en la gestión de servicios, mantener copias de seguridad frecuentes mientras se verifica que las copias de sombra estén disponibles, y desplegar herramientas EDR como Wazuh combinadas con reglas de Sysmon personalizadas para alertar sobre los patrones de comando de Funklocker. Las firmas YARA se pueden aplicar para poner automáticamente en cuarentena o eliminar ejecutables de ransomware identificados.

Respuesta

Cuando se detecta actividad de Funklocker, el servidor de Wazuh genera alertas y su componente de Respuesta Activa desencadena un análisis de YARA que elimina el binario del ransomware junto con cualquier archivo recién creado cifrado. El proceso de respuesta descrito también cubre la validación manual, el confinamiento de los sistemas afectados y la recuperación de datos de copias de seguridad de confianza y no comprometidas.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[«<b>Acción</b> – <b>T1204.004 Ejecución de Usuario: Archivo Malicioso</b><br />Correo de phishing que contiene un adjunto malicioso enviado a las víctimas»] class action_phishing action action_execute_payload[«<b>Acción</b> – <b>T1218.007 Ejecución de Binario Firmado por Proxy: Msiexec</b><br />Ejecutar carga maliciosa .exe o .msi utilizando utilidades del sistema»] class action_execute_payload action action_install_rat[«<b>Acción</b> – <b>T1219 Herramientas de Acceso Remoto</b><br />Instalar herramienta de acceso remoto en el host comprometido»] class action_install_rat action malware_rat[«<b>Malware</b> – <b>Nombre</b>: Herramienta de Acceso Remoto<br /><b>Descripción</b>: Permite control remoto persistente»] class malware_rat malware action_c2[«<b>Acción</b> – <b>T1104 Comando y Control</b><br />Establecer canal C2 para recibir instrucciones»] class action_c2 action action_recon[«<b>Acción</b> – Reconocimiento<br /><b>T1082 Descubrimiento de Información del Sistema</b>, <b>T1592.002 Identificación de Software</b>, <b>T1590.004 Descubrimiento de Topología de Red</b><br />Recopilar detalles del sistema, software y red»] class action_recon action action_credential_dump[«<b>Acción</b> – <b>T1555.003 Credenciales En Archivos: Navegadores Web</b><br />Extraer credenciales web almacenadas utilizando WebBrowserPassView»] class action_credential_dump action tool_webbrowserpassview[«<b>Herramienta</b> – <b>Nombre</b>: WebBrowserPassView<br /><b>Descripción</b>: Recupera contraseñas guardadas de navegadores»] class tool_webbrowserpassview tool action_valid_accounts[«<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br />Utilizar credenciales obtenidas para autenticar»] class action_valid_accounts action action_lateral_movement[«<b>Acción</b> – <b>T1021.006 Servicios Remotos: WinRM</b><br />Moverse lateralmente utilizando la Gestión Remota de Windows»] class action_lateral_movement action %% Connections action_phishing u002du002d>|conduce a| action_execute_payload action_execute_payload u002du002d>|ejecuta| action_install_rat action_install_rat u002du002d>|instala| malware_rat malware_rat u002du002d>|comunica con| action_c2 action_c2 u002du002d>|habilita| action_recon action_recon u002du002d>|proporciona datos para| action_credential_dump action_credential_dump u002du002d>|utiliza| tool_webbrowserpassview action_credential_dump u002du002d>|conduce a| action_valid_accounts action_valid_accounts u002du002d>|habilita| action_lateral_movement

Flujo de Ataque

Ejecución de Simulación

Requisito previo: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narración DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    El atacante ha obtenido acceso como administrador local en el punto final comprometido. Para asegurar que el ransomware pueda ejecutarse sin interrupciones y mantenerse oculto, ejecutan una serie de comandos de PowerShell que (1) deshabilitan el registro de eventos de seguridad, (2) apagan la protección en tiempo real de Microsoft Defender, (3) desactivan el registro de Aplicaciones y (4) establecen la política de ejecución de PowerShell en Ignorar. Cada comando se emite directamente desde un indicador elevado de PowerShell, reflejando las cadenas exactas que la regla Sigma coincide.

  • Script de Prueba de Regresión:

    # Comandos de Funklocker para desactivar registros y defensas
# 1. Deshabilitar el registro de eventos de Seguridad
powershell -Command "wevtutil sl Security /e:false"

# 2. Desactivar la monitorización en tiempo real de Microsoft Defender
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

# 3. Deshabilitar el registro de eventos de Aplicaciones
powershell -Command "wevtutil sl Application /e:false"

# 4. Ignorar la política de ejecución de PowerShell para el proceso actual
powershell -Command "Set-ExecutionPolicy Bypass -Scope Process -Force"

  • Comandos de Limpieza:

    # Volver a habilitar el registro de eventos de Seguridad
wevtutil sl Security /e:true

# Volver a habilitar la monitorización en tiempo real de Microsoft Defender
Set-MpPreference -DisableRealtimeMonitoring $false

# Volver a habilitar el registro de eventos de Aplicaciones
wevtutil sl Application /e:true

# Restablecer la política de ejecución de PowerShell a la predeterminada (Restringido)
Set-ExecutionPolicy Restricted -Scope Process -Force

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis