Los expertos de Kaspersky han detectado una campaña de malware dirigido que utiliza una técnica única, ocultando malware “sin archivos” dentro de los registros de eventos de Windows. La infección inicial del sistema se lleva a cabo a través del módulo dropper de un archivo descargado por la víctima. El atacante utiliza una variedad de wrappers antidetección sin precedentes para que los troyanos sean aún menos visibles en la última etapa. Para evitar todavía más la detección, algunos módulos han sido firmados con un certificado digital.
Los atacantes emplearon dos tipos de troyanos para la última etapa con el fin de obtener un mayor acceso al sistema. Los servidores de Comando y Control (C&C) entregan de dos maneras: a través de HTTP y mediante el uso de named pipes. Algunas versiones de troyanos consiguieron utilizar un sistema de comandos que contenía docenas de comandos desde el C2.
La campaña también incluía herramientas comerciales de pentesting, concretamente SilentBreak y CobaltStrike, combinando así técnicas conocidas con descifradores personalizados. Asimismo, es la primera vez que se observa el uso de los registros de eventos de Windows para ocultar códigos Shell en el sistema.
“Fuimos testigos de una nueva técnica de malware dirigido que llamó nuestra atención. Para el ataque, el atacante guardó y luego ejecutó un shellcode cifrado a partir de los registros de eventos de Windows. Se trata de un enfoque que nunca habíamos visto antes y que pone de manifiesto la importancia de estar al tanto de las amenazas que, de otro modo, podrían pillarnos desprevenidos. Creemos que merece la pena añadir la técnica de los registros de eventos a la sección de ‘evasión de la defensa’ de la matriz MITRE en su parte de ‘ocultar artefactos. El uso de varias suites de pentesting comerciales tampoco es algo que se vea todos los días”, afirma Denis Legezo, investigador principal de seguridad de Kaspersky.
Para protegerse del malware ‘sin archivos’ y otras amenazas similares, Kaspersky recomienda:
- Utilizar una solución fiable de seguridad para puntos finales. Un componente dedicado en Kaspersky Endpoint Security for Business puede detectar anomalías en el comportamiento de los archivos y revelar cualquier actividad de malware sin archivos.
- Instalar soluciones anti-APT y EDR que permitan descubrir y detectar amenazas, así como investigar y remediar los incidentes. Además, los expertos aconsejan proporcionar al equipo SOC acceso a las últimas amenazas, así como actualizarlo regularmente con formación profesional. Todo ello está disponible en el marco de Kaspersky Expert Security.
- Integrar una protección adecuada de los puntos finales y servicios dedicados que puedan ayudar a proteger contra ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener los ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.
