Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una publicación de Splunk revisa cómo muchas familias de troyanos de acceso remoto y ladrones convergen en la misma base de técnicas MITRE ATT&CK. Destaca comportamientos repetitivos como la transferencia de herramientas de entrada, descubrimiento de host y red, persistencia en el registro y tareas programadas, evasión de defensa y robo de credenciales. Al mismo tiempo, señala pequeñas diferencias de implementación que aún pueden ayudar a separar familias durante el triaje. Este enfoque apoya una caza más consistente entre familias.
Investigación
El equipo mapeó alrededor de dieciocho familias de malware a ATT&CK, resumió las TTPs superpuestas e incluyó fragmentos de código prácticos que cubren persistencia, manipulación de tokens y uso de servicios web. Los ejemplos abarcan consultas WMI, escritura de claves Run, creación de schtasks y comandos PowerShell que añaden exclusiones de Windows Defender.
Mitigación
La guía prioriza detecciones centradas en técnicas sobre nombres de familias: vigilar el abuso de utilidades comunes (schtasks, reg, WMI), restringir el tráfico de servicios web salientes y fortalecer los controles de acceso a credenciales. También recomienda endurecer las políticas de exclusión de Windows Defender y alertar sobre cambios de privilegios de token.
Respuesta
Cuando se detectan estas técnicas, aísle el punto final, recopile artefactos clave (colmenas del registro, definiciones de tareas programadas, registros de línea de comandos) y busque IOCs relacionados en toda la propiedad. Elimine la persistencia, aplique bloqueos basados en indicadores para dominios y hashes conocidos, y amplíe las detecciones para cubrir los comportamientos compartidos.
Flujo de Ataque
Aún estamos actualizando esta parte. Regístrese para recibir notificaciones
NotifícameDetecciones
Posible intento de comunicación de dominio de búsqueda de IP (a través de dns)
Ver
Schtasks apunta a directorio / binario / script sospechoso (a través de cmdline)
Ver
Deshabilitación de protecciones de Windows Defender (a través de registry_event)
Ver
Posible infiltración/exfiltración de datos / C2 a través de servicios/herramientas de terceros (a través de proxy)
Ver
Posible infiltración/exfiltración de datos / C2 a través de servicios/herramientas de terceros (a través de dns)
Ver
Cambios sospechosos en las preferencias de Windows Defender (a través de powershell)
Ver
Posibles puntos de persistencia [ASEPs – Colmena de Software/NTUSER] (a través de registry_event)
Ver
Creación de tareas programadas mediante Schtasks.exe [Creación de Procesos de Windows]
Ver
Detectar claves de ejecución del registro para persistencia [Evento de Registro de Windows]
Ver
Ejecución de Simulación
Requisito previo: La verificación previa de telemetría y línea de base debe haber sido aprobada.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa y Comandos de Ataque:
- Reconocimiento: El atacante enumera la versión del SO para verificar que el objetivo es una máquina Windows capaz de usar claves de ejecución.
- Preparación de Payload: Un ejecutable de prueba inofensivo (
notepad.exe) se elige para evitar un impacto malicioso real mientras sigue representando una carga útil de persistencia típica. - Implante de Persistencia: Usando
reg.exe, el atacante escribe un nuevo valor de cadena llamadoProvingMalwarebajoHKCUSoftwareMicrosoftWindowsCurrentVersionRun, apuntando aC:WindowsSystem32notepad.exe. Esto genera el EventID 4657 con la ruta de la clave de ejecución, satisfaciendo la regla de detección. - Verificación: El atacante consulta el registro para confirmar que el valor existe.
-
Script de Prueba de Regresión:
# ------------------------------------------------- # Proving – Simulación de Persistencia de Clave de Registro # ------------------------------------------------- try { # 1. Verificar que SO es Windows if (-not $IsWindows) { throw "El script solo puede ejecutarse en Windows." } # 2. Definir ruta de clave de ejecución y carga útil maliciosa $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $valueName = "ProvingMalware" $payloadPath = "$env:SystemRootSystem32notepad.exe" # 3. Escribir la clave de ejecución maliciosa (esto activa el EventID 4657) New-ItemProperty -Path $runKey -Name $valueName -Value $payloadPath -PropertyType String -Force | Out-Null Write-Host "[+] Clave de ejecución $valueName agregada bajo $runKey apuntando a $payloadPath" } catch { Write-Error "[!] $($_.Exception.Message)" } -
Comandos de Limpieza:
# Eliminar el valor de persistencia simulado $runKey = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $valueName = "ProvingMalware" if (Test-Path "$runKey") { Remove-ItemProperty -Path $runKey -Name $valueName -ErrorAction SilentlyContinue Write-Host "[+] Clave de ejecución $valueName limpiada" }