SOC Prime Bias: Crítico

30 Abr 2026 17:21

Profero | Rapid-IR

Backdoor de WindowsAudit: Dentro de un RAT .NET que se oculta en Discord

Ruslan Mikhalov Jefe de Investigación de Amenazas en SOC Prime

Seguir

Backdoor de WindowsAudit: Dentro de un RAT .NET que se oculta en Discord

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

IRT de Profero identificó un backdoor .NET 8 llamado WindowsAudit.exe que utiliza Discord como su principal canal de mando y control, mientras que también admite MQTT y Telegram como rutas de comunicación de respaldo. El malware opera como un servicio de Windows, crea una copia de seguridad de sí mismo, establece múltiples mecanismos de persistencia, y lleva a cabo el robo de credenciales, abuso de Active Directory y actividades de evasión de defensa. También configura túneles WireGuard para admitir el movimiento lateral encubierto dentro del entorno. El conjunto de habilidades general sugiere que los atacantes podrían estar preparando las redes afectadas para una etapa posterior de ransomware.

Investigación

Los investigadores obtuvieron el binario WindowsAudit , confirmaron que era un troyano de acceso remoto modular en C#, e invirtieron ingeniería a su componente DLL incrustado. Su análisis detalló las técnicas de persistencia del malware, la arquitectura de comunicación, las capacidades de volcado de credenciales y los métodos de evasión, incluyendo el parcheo de AMSI y ETW. El equipo también examinó un dropper relacionado llamado WinSATSvc, que parecía diseñado para restaurar el malware si era eliminado. De este trabajo, los investigadores extrajeron un conjunto de indicadores de compromiso para apoyar la búsqueda y detección.

Mitigación

Las detecciones recomendadas incluyen la supervisión de la creación del binario WindowsAudit servicio, las entradas de clave Run asociadas, el mutex GlobalWindowsAuditSingleInstance , y ejecuciones sospechosas de Add-MpPreference . Los defensores también deben bloquear o alertar sobre el tráfico TLS hacia la infraestructura de Discord y HiveMQ, mientras observan cambios de bcdedit en inicio seguro e intentos sospechosos de creación de tareas programadas. Cualquier configuración de túnel WireGuard vinculada al malware debe ser eliminada, y todos los mecanismos de persistencia establecidos por el backdoor deben ser deshabilitados.

Respuesta

Las organizaciones deben buscar inmediatamente los indicadores de compromiso publicados, aislar los sistemas afectados y detener el binario WindowsAudit servicio. Se deben recoger imágenes de memoria y disco para revisión forense, eliminar los binarios maliciosos y restablecer cualquier credencial comprometida. Los equipos de seguridad también deben verificar que se han eliminado las exclusiones no autorizadas de EDR, confirmar que los cambios de configuración de Modo Seguro han sido revertidos, y continuar supervisando la reinstalación o recreación de los componentes del malware.

"graph TB %% Definiciones de clase classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 classDef operator fill:#ff9900 %% Nodos u2013 Técnicas y Herramientas exploit_remote_services["Técnica – T1210 Explotación de Servicios Remotos Copiar binario malicioso a hosts remotos vía SMB e iniciarlo con sc.exe"] class exploit_remote_services technique lateral_smb["Técnica – T1080 Movimiento Lateral a través de Contenido Compartido Propagación usando comparticiones SMB y ejecución de comandos remotos"] class lateral_smb technique wmi_event_sub["Técnica – T1546.003 Suscripción a Eventos de Instrumentación de Administración de Windows Registrar evento WMI que active carga útil para persistencia"] class wmi_event_sub technique scheduled_task["Técnica – T1053 Tarea/Trabajo Programado Crear tarea que se ejecute en Modo Seguro para eliminar EDR y volver a armar el malware después del reinicio"] class scheduled_task technique defender_exclusion["Técnica – T1564.012 Ocultar Artefactos: Exclusiones de Rutas de Archivos Agregar exclusión al instalador de Windows Defender para la ruta de instalación y ejecutable"] class defender_exclusion technique safe_mode_boot["Técnica – T1562.009 Arranque en Modo Seguro Arrancar en Modo Seguro para reinstalar componentes"] class safe_mode_boot technique vpn_proxy["Técnica – T1090 Proxy y T1572 Tunelización de Protocolo Desplegar VPN WireGuard y proxy SOCKS5 para tunelizar tráfico"] class vpn_proxy technique c2_discord["Técnica – T1102.002 Servicio Web: Discord Usar Discord como principal canal de mando y control"] class c2_discord technique c2_mqtt["Técnica – T1102 Servicio Web (MQTT) C2 secundario vía broker MQTT"] class c2_mqtt technique c2_fallback["Técnica – T1008 Canales de Respaldo Cambiar a MQTT o Telegram cuando Discord no esté disponible"] class c2_fallback technique rat["Malware – Herramienta de Acceso Remoto (RAT)"] class rat malware os_cred_dump["Técnica – T1003 Volcado de Credenciales de SO Volcar memoria de LSASS con MiniDumpWriteDump"] class os_cred_dump technique shadow_copy["Técnica – T1003.007 Copia de Volumen Sombra Extraer colmenas SAM y SYSTEM a través de copias de sombra"] class shadow_copy technique browser_passwords["Técnica – T1555.003 Credenciales de Navegadores Web Desencriptar contraseñas guardadas usando DPAPI"] class browser_passwords technique cred_manager["Técnica – T1555.004 Credenciales del Administrador de Credenciales de Windows Extraer credenciales almacenadas"] class cred_manager technique golden_ticket["Técnica – T1558.001 Golden Ticket Crear un TGT de Kerberos falsificado para administrador de dominio"] class golden_ticket technique silver_ticket["Técnica – T1558.002 Silver Ticket Falsificar tickets de servicio para servicios específicos"] class silver_ticket technique pass_hash["Técnica – T1550.002 Pass the Hash Reutilizar hash NTLM para autenticación"] class pass_hash technique pass_ticket["Técnica – T1550.003 Pass the Ticket Reutilizar ticket de Kerberos para movimiento lateral"] class pass_ticket technique dc_sync["Técnica – T1003.006 DCSync Forzar el controlador de dominio a replicar datos de contraseñas"] class dc_sync technique dc_auth["Técnica – T1556.001 Autenticación en Controlador de Dominio Modificar proceso de autenticación en DC"] class dc_auth technique process_hollowing["Técnica – T1055.012 Process Hollowing Inyectar código en proceso elevado"] class process_hollowing technique apc_injection["Técnica – T1055.004 Llamada de Procedimiento Asíncrono Inyectar código vía APC"] class apc_injection technique clear_event_logs["Técnica – T1070.001 Limpiar Registros de Eventos de Windows Eliminar evidencia de actividad"] class clear_event_logs technique screen_capture["Técnica – T1113 Captura de Pantalla Capturar pantallas"] class screen_capture technique video_capture["Técnica – T1125 Captura de Video Grabar video del escritorio"] class video_capture technique audio_capture["Técnica – T1123 Captura de Audio Grabar audio del micrófono"] class audio_capture technique keylogging["Técnica – T1056.001 Registro de Teclas Capturar pulsaciones de teclado"] class keylogging technique exfil_discord["Técnica – T1041 Exfiltración a través de Canal de Comando y Control Subir datos como adjuntos de Discord"] class exfil_discord technique exfil_mqtt["Técnica – T1041 Exfiltración a través de Canal de Comando y Control Enviar datos vía mensajes MQTT"] class exfil_mqtt technique %% Operadores lógicos (opcional) op_and1(("AND")) class op_and1 operator %% Conexiones u2013 Flujo de Ataque exploit_remote_services –>|copia binario vía SMB| lateral_smb lateral_smb –>|ejecuta comando remoto con sc.exe| wmi_event_sub wmi_event_sub –>|proporciona persistencia| scheduled_task scheduled_task –>|ejecuta en modo seguro| safe_mode_boot safe_mode_boot –>|vuela malware| vpn_proxy vpn_proxy –>|tuneliza tráfico| c2_discord c2_discord –>|canal C2 primario| rat rat –>|recolecta credenciales| os_cred_dump os_cred_dump –>|obtiene volcado de LSASS| shadow_copy os_cred_dump –>|alimenta| browser_passwords os_cred_dump –>|alimenta| cred_manager os_cred_dump –>|habilita| golden_ticket os_cred_dump –>|habilita| silver_ticket golden_ticket –>|proporciona acceso de administrador de dominio| pass_hash silver_ticket –>|proporciona acceso a servicios| pass_ticket rat –>|utiliza| pass_hash rat –>|utiliza| pass_ticket rat –>|utiliza| dc_sync rat –>|utiliza| dc_auth rat –>|eleva vía| process_hollowing rat –>|eleva vía| apc_injection rat –>|limpia logs| clear_event_logs rat –>|captura| screen_capture rat –>|captura| video_capture rat –>|captura| audio_capture rat –>|captura| keylogging screen_capture –>|exfiltra vía| exfil_discord video_capture –>|exfiltra vía| exfil_discord audio_capture –>|exfiltra vía| exfil_discord keylogging –>|exfiltra vía| exfil_discord exfil_discord –>|respaldo a| exfil_mqtt c2_discord –>|respaldo a| c2_fallback c2_fallback –>|utiliza| c2_mqtt c2_mqtt –>|recibe datos exfiltrados | exfil_mqtt

Flujo de Ataque

Detecciones

Puntos Posibles de Persistencia [ASEPs – Hive de Software/NTUSER] (vía registry_event)

Equipo de SOC Prime

30 Abr 2026

Ver

Posibles Intentos de Comunicación de Búsqueda IP (vía dns)

Equipo de SOC Prime

30 Abr 2026

Ver

Ejecución sospechosa de Bcdedit (vía cmdline)

Equipo de SOC Prime, Nate Guagenti

29 Abr 2026

Ver

Cambios Sospechosos en Preferencias de Windows Defender (vía powershell)

Equipo de SOC Prime

29 Abr 2026

Ver

Posible Uso Indebido de Discord como Canal C2 (vía dns_query)

Equipo de SOC Prime

29 Abr 2026

Ver

Detección de Mutex de Instancia Única de WindowsAudit RAT [Windows Sysmon]

Reglas de SOC Prime AI

29 Abr 2026

Ver

Comunicación de Mando y Control del Backdoor WindowsAudit [Conexión de Red de Windows]

Reglas de SOC Prime AI

29 Abr 2026

Ver

Detección de Backdoor WindowsAudit y Actividades Asociadas [Creación de Procesos en Windows]

Reglas de SOC Prime AI

29 Abr 2026

Ver

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y tienen como objetivo generar exactamente la telemetría esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

Narrativa del Ataque y Comandos:
Un atacante ha desplegado el backdoor WindowsAudit en el host víctima. Para recuperar comandos, el backdoor realiza búsquedas DNS al CDN de Discord (gateway.discord.gg) y a un broker MQTT malicioso alojado en *.hivemq.cloud. Estas búsquedas se realizan a través de las APIs nativas de Windows (sin herramientas externas) para mantener un perfil bajo. Las consultas DNS son el único artefacto observable utilizado por la regla Sigma para la detección.

Script de Prueba de Regresión:

# Simulación de baliza DNS de C2 de WindowsAudit
# Genera exactamente las consultas DNS que la regla Sigma observa.

$c2Endpoints = @(
    "gateway.discord.gg",
    "malicious1.hivemq.cloud",
    "malicious2.hivemq.cloud"
)

foreach ($fqdn in $c2Endpoints) {
    try {
        # Usar el resolvedor de DNS nativo de Windows
        Resolve-DnsName -Name $fqdn -Type A -ErrorAction Stop | Out-Null
        Write-Host "[+] Consultado $fqdn"
    } catch {
        Write-Warning "No se pudo resolver $fqdn (C2 simulado)"
    }
    Start-Sleep -Seconds 5   # imita intervalo de baliza realista
}

Comandos de Limpieza:

# Vaciar la caché DNS para eliminar rastros de las consultas simuladas
ipconfig /flushdns
Write-Host "[*] Caché DNS borrada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis