SOC Prime Bias: Crítico

04 Jul 2026 07:08 UTC

Rastreando las Olimpiadas del Deterioro de la Defensa

Author Photo
SOC Prime Team linkedin icon Seguir
Rastreando las Olimpiadas del Deterioro de la Defensa
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Un actor de amenaza explotó vulnerabilidades en Adobe ColdFusion para desplegar webshells esteganográficos en un servidor web expuesto al público. Después de obtener acceso inicial, el atacante llevó a cabo actividades agresivas de impedimento de defensas, incluyendo la desactivación de Microsoft Defender, el término de servicios de registro de seguridad y la modificación de configuraciones del registro. La operación finalmente parecía centrarse en el volcado de credenciales con Mimikatz después de debilitar las protecciones del host.

Investigación

La investigación comenzó cuando los analistas detectaron comandos de reconocimiento como whoami ejecutándose desde el proceso trabajador de IIS, w3wp.exe. Un análisis adicional descubrió webshells esteganográficos ocultos dentro de archivos de imagen y un script por lotes llamado i.bat que automatizaba el apagado de controles de seguridad. Una revisión forense adicional reveló timestomping y manipulación del registro utilizados para apoyar el robo de credenciales y reducir la visibilidad.

Mitigación

Las organizaciones deben asegurarse de que todo el software, especialmente las plataformas expuestas a Internet como Adobe ColdFusion, esté completamente parcheado contra vulnerabilidades conocidas. También es crítico desplegar un registro centralizado resiliente que no pueda ser fácilmente alterado desde el host local. Además, reforzar las configuraciones de seguridad basadas en el registro y monitorear cambios no autorizados en las configuraciones de proveedores de seguridad puede ayudar a interrumpir la actividad de impedimento de defensas.

Respuesta

Si se detecta esta actividad, los equipos de seguridad deben aislar inmediatamente el servidor web afectado para evitar un movimiento mayor o pérdida de datos. Todas las credenciales que hayan podido ser expuestas o almacenadas en caché durante la intrusión deben ser revocadas y rotadas. Luego se debe realizar un barrido forense completo para identificar y eliminar artefactos esteganográficos, así como cualquier tarea programada no autorizada o consumidores de eventos WMI.

Flujo de Ataque

Detecciones

Creación de Consumidor de Evento WMI Sospechosa (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posibles Funciones de Accesibilidad mediante Abuso del Registro (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Enumeración del Sistema (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Actividad AppCmd Sospechosa (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Abuso de Clave de Registro WDigest (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Robo de Credenciales de Base de Datos (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Enumeración / Manipulación de Cuentas o Grupos (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Ejecución de Taskkill Sospechosa (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Cambios Sospechosos en las Preferencias de Windows Defender (vía powershell)

Equipo de SOC Prime
03 Jul 2026

Deshabilitación Sospechosa de Registro de IIS (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Descubrimiento mediante Consulta del Registro del Sistema (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Comportamiento Sospechoso del Servidor Microsoft IIS (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Posible Ejecución mediante Uso de Nombre de Script Corto (vía cmdline)

Equipo de SOC Prime
03 Jul 2026

Detectar Deshabilitación de Protecciones de Windows Defender vía PowerShell [Windows Powershell]

Reglas AI de SOC Prime
03 Jul 2026

Detección de Explotación para CVE-2023-29298 a través de Rutas Vulnerables de ColdFusion [Servidor web]

Reglas AI de SOC Prime
03 Jul 2026

Ejecución de Simulación

Requisito previo: El Verificación Pre-vuelo de Telemetría & Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.

  • Narrativa del Ataque & Comandos: Un adversario ha obtenido exitosamente acceso de administrador local en una estación de trabajo. Para facilitar el despliegue de un recolector de credenciales (como Mimikatz) sin activar una alerta, el atacante decide deshabilitar el escaneo en tiempo real de Windows Defender. Optan por usar un comando PowerShell de una sola línea para minimizar su huella, específicamente apuntando al cmdlet Set-MpPreference para deshabilitar el monitoreo en tiempo real y el escaneo de scripts. Esta acción está destinada a crear un «punto ciego» en el endpoint.

  • Script de Prueba de Regresión:

    # Script de Simulación: Activando la lógica 'comando_seleccion'
    # NOTA: Este script debe ejecutarse como Administrador para tener éxito en cambiar las configuraciones de Defender.
    # Está diseñado para activar la regla de detección mediante coincidencia exacta de cadena.
    
    Write-Host "[+] Iniciando Simulación: Deshabilitando Protecciones de Windows Defender..." -ForegroundColor Cyan
    
    # Activando 'Set-MpPreference -DisableRealtimeMonitoring $true'
    Write-Host "[+] Ejecutando: Set-MpPreference -DisableRealtimeMonitoring $true"
    Set-MpPreference -DisableRealtimeMonitoring $true
    
    # Activando 'Set-MpPreference -DisableScriptScanning $true'
    Write-Host "[+] Ejecutando: Set-MpPreference -DisableScriptScanning $true"
    Set-MpPreference -DisableScriptScanning $true
    
    # Activando 'Set-MpPreference -SubmitSamplesConsent NeverSend'
    Write-Host "[+] Ejecutando: Set-MpPreference -SubmitSamplesConsent NeverSend"
    Set-MpPreference -SubmitSamplesConsent NeverSend
    
    # Activando lógica 'selection_file' creando y ejecutando un archivo ficticio
    Write-Host "[+] Ejecutando: Creando y ejecutando DisableDefender.ps1"
    "Write-Host 'Simulando Evasión'" | Out-File -FilePath "$env:TEMPDisableDefender.ps1"
    & "$env:TEMPDisableDefender.ps1"
    
    Write-Host "[+] Comandos de Simulación Completados." -ForegroundColor Green
  • Comandos de Limpieza:

    # Script de Limpieza: Rehabilitando protecciones y eliminando artefactos
    Write-Host "[!] Iniciando Limpieza..." -ForegroundColor Yellow
    
    # Rehabilitar protecciones
    Set-MpPreference -DisableRealtimeMonitoring $false
    Set-MpPreference -DisableScriptScanning $false
    Set-MpPreference -SubmitSamplesConsent AutoLimit
    
    # Eliminar el script ficticio
    if (Test-Path "$env:TEMPDisableDefender.ps1") {
        Remove-Item -Path "$env:TEMPDisableDefender.ps1" -Force
        Write-Host "[+] Script ficticio eliminado."
    }
    
    Write-Host "[+] Limpieza Completa. Sistema devuelto a la línea base." -ForegroundColor Green