Contenido de Caza de Amenazas: Carga Maliciosa en Registros de Errores Falsos de Windows

[post-views]
junio 23, 2020 · 2 min de lectura
Contenido de Caza de Amenazas: Carga Maliciosa en Registros de Errores Falsos de Windows

La semana pasada, investigadores de seguridad descubrieron una forma curiosa de ocultar la carga útil maliciosa a plena vista, y este método se utiliza activamente en la naturaleza. Los adversarios usan registros de errores falsos para almacenar caracteres ASCII disfrazados como valores hexadecimales que decodifican a una carga útil maliciosa diseñada para preparar el terreno para ataques basados en scripts.

En el escenario descubierto, los ciberdelincuentes aplicaron un nuevo método después de comprometer sistemas y lograr persistencia. Luego, usaron un archivo con una extensión .chk que imitaba un registro de errores de Windows para una aplicación. A simple vista, el archivo no es sospechoso, ya que tiene marcas de tiempo e incluye referencias al número de versión interna de Windows, pero al final de cada línea hay una representación decimal de un carácter ASCII. Tal archivo no causará sospechas en las soluciones de seguridad, y el usuario lo considerará legítimo, de hecho, este registro de errores falso oculta un script codificado que contacta al servidor de comando y control para el siguiente paso en el ataque. El script se ejecuta usando una tarea programada y dos binarios legítimos de Windows renombrados: mshta.exe y powershell.exe. Los atacantes usan el script para recopilar detalles sobre navegadores instalados, productos de seguridad y software de punto de venta. La regla exclusiva de caza de amenazas desarrollada por Osman Demir ayuda a las soluciones de seguridad a encontrar registros de errores falsos de Windows que contienen cargas útiles maliciosas: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Evasión de Defensas

Técnicas: Suplantación (T1036)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.