// Laboratorio de Threat Intelligence: Oski
// Análisis de malware Stealc: C2, RC4, MITRE ATT&CK y técnicas de evasión
// Plataforma: CyberDefenders
// Dificultad: Easy
*DISCLAMER* -> Este writeup es con fines educativos y de práctica profesional. Las respuestas mostradas corresponden al laboratorio público de CyberDefenders. Los hashes, IPs y artefactos pertenecen al escenario controlado del reto, no a infraestructura real en producción.
SERIE // CyberDefenders Labs #02
0x00 Introducción
Segundo post de la serie de laboratorios de CyberDefenders.
Esta vez nos enfrentamos a Oski, un laboratorio de Threat Intelligence centrado en el análisis de una campaña maliciosa asociada con la familia de malware Stealc.
El escenario comienza con un correo electrónico sospechoso que contiene un archivo adjunto aparentemente urgente, que activa una alerta de seguridad debido a una descarga potencialmente maliciosa.
Examinando los artefactos proporcionados y aprovechando herramientas como VirusTotal y Any.Run, la investigación descubre el comportamiento, las tácticas y las técnicas empleadas por el malware.
A través del análisis, profundizamos en varios aspectos del malware: su identificación familiar, tiempo de creación, comunicación con un servidor C2, actividades iniciales post-infección, ajustes de configuración y técnicas de evasión.
Se revelan ideas clave, como su uso de la clave de cifrado RC4, su enfoque en el robo de credenciales de los almacenes de contraseñas del navegador y su comportamiento de autoeliminación para evitar la detección.
Cada descubrimiento se alinea con técnicas específicas del framework MITRE ATT&CK.
0x01 El Escenario
| Elemento | Detalle |
|---|---|
| Familia de malware | Stealc (Information Stealer) |
| Vector de entrada | Correo electrónico con adjunto malicioso |
| Evidencia | Artefactos de malware, informes de VirusTotal y Any.Run |
| Misión | Analizar comportamiento del malware, identificar C2, mapear a MITRE ATT&CK |
Herramientas
| Herramienta | Uso |
|---|---|
| VirusTotal | Análisis de hashes, detección de familias de malware, timestamp de creación |
| Any.Run | Sandbox de análisis dinámico, extracción de configuración, mapeo MITRE |
0x02 Análisis
Determinar el tiempo de creación del malware puede proporcionar información sobre su origen. ¿Cuándo fue el momento de crear el malware?
Comprender el tiempo de creación de malware es un aspecto crucial del análisis.
Proporciona información sobre los orígenes y su ciclo de vida: cuándo se compiló o se introdujo por primera vez en la naturaleza.
Esta información puede revelar si el malware es un desarrollo reciente, una vieja amenaza que resurgió o si está vinculado a campañas o actores de amenazas específicos.
Además, comparar el tiempo de creación con su primera detección ofrece información sobre cuánto tiempo evadió la detección, destacando lagunas en las medidas defensivas.
En este caso, el tiempo de creación del malware se indica como September 28, 2022, at 17:40:46 UTC.
Esta marca de tiempo refleja el momento en que se compiló el archivo malicioso.
Este detalle, combinado con la cronología posterior de su detección y envío, ayuda a los equipos de seguridad a establecer una narrativa cronológica de la actividad del malware y planificar contramedidas apropiadas.
Respuesta: 2022-09-28 17:40:46 UTC
Identificar el servidor de comando y control (C2) con el que se comunica el malware puede ayudar a rastrear al atacante. ¿Con qué servidor C2 se comunica el malware?
Los servidores de comando y control (C2) son componentes críticos de muchas operaciones de malware y actúan como el centro central donde un atacante puede controlar de forma remota los sistemas infectados.
Una vez que un sistema se ve comprometido, el malware establece una conexión con el servidor C2 para recibir instrucciones: comandos de exfiltración de datos, cargas útiles adicionales o actividades maliciosas.
Comprender e identificar el servidor C2 es vital para rastrear al atacante, interrumpir los canales de comunicación y mitigar daños.
El servidor C2 identificado está asociado con la dirección IP 171.22.28.221.
Esta IP aparece en múltiples patrones de memoria y está vinculada a URLs a las que el malware intenta conectarse, como rutas que terminan en .php y .exe.
Esta información es esencial para la respuesta a incidentes como acciones bloquear o monitorear el tráfico a esta IP puede prevenir una mayor explotación y brindar información sobre la infraestructura del actor de la amenaza.
Respuesta: 171.22.28.221
Identificar las acciones iniciales del malware después de la infección puede proporcionar información sobre sus objetivos principales. ¿Cuál es la primera biblioteca que solicita el malware después de la infección?
Comprender las acciones iniciales del malware después de la infección es esencial para descubrir sus objetivos y comportamiento.
Estas acciones a menudo incluyen cargar bibliotecas o contactar servidores externos para establecer comunicación, ejecutar su carga útil o recopilar información del sistema.
La primera biblioteca que el malware solicita después de la infección es sqlite3.dll.
Esta biblioteca se asocia comúnmente con tareas de gestión de bases de datos, lo que sugiere que el malware se está preparando para acceder o manipular datos estructurados, potencialmente para recopilar credenciales u otra información confidencial almacenada localmente.
Respuesta: sqlite3.dll
Examinando el informe de Any.Run, ¿qué clave RC4 utiliza el malware para descifrar su cadena codificada en base64?
RC4 (Rivest Cipher 4) es un cifrado de flujo simétrico que cifra datos byte por byte. Genera un flujo pseudo aleatorio de bits (keystream) que se combina con el texto simple para producir texto cifrado.
En el contexto del malware, RC4 se utiliza frecuentemente para cifrar o descifrar datos como cadenas, archivos de configuración o cargas útiles para evadir la detección.
Malware configuration se refiere a las configuraciones predefinidas integradas en el código del malware.
Estas a menudo incluyen detalles críticos como claves de cifrado, direcciones de servidor C2, rutas de archivos o comandos de ejecución.
Al extraer y analizar estas configuraciones, los analistas pueden comprender el comportamiento previsto del malware.
El malware utiliza la clave RC4 5329514621441247975720749009.
Esta clave se emplea para descifrar cadenas codificadas en base64 que el malware utiliza para ejecutar su funcionalidad: establecer comunicación con el servidor C2 o cargar recursos adicionales.
Respuesta: 5329514621441247975720749009
Examinando las técnicas MITRE ATT&CK mostradas en el informe de sandbox de Any.Run, identifique la técnica MITRE principal (no sub-técnicas) que utiliza el malware para robar la contraseña del usuario.
El MITRE ATT&CK framework es una base de conocimientos reconocida mundialmente que detalla tácticas y técnicas adversarias basadas en observaciones del mundo real.
Proporciona una visión integral de cómo operan los adversarios, desde el acceso inicial hasta la exfiltración e impacto.
A cada técnica se le asigna un identificador único con descripciones detalladas, fuentes de datos y posibles estrategias de mitigación.
El malware emplea la técnica T1555, conocida como "Credentials from Password Stores".
Esta técnica implica que los adversarios apunten a ubicaciones comunes de almacenamiento de contraseñas, como navegadores web, para robar credenciales.
Al extraer credenciales almacenadas en navegadores o herramientas de administración de contraseñas, los atacantes obtienen acceso a cuentas y sistemas de usuario confidenciales.
Respuesta: T1555 — Credentials from Password Stores
Examinando los procesos secundarios en el informe de sandbox de Any.Run, ¿a qué directorio apunta el malware para la eliminación de todos los archivos DLL?
El malware a menudo incorpora la eliminación de archivos como parte de su comportamiento para cubrir sus huellas y minimizar las posibilidades de detección.
Al eliminar archivos que puedan revelar su presencia (archivos temporales de ejecución, cargas útiles o datos de configuración), el malware intenta evadir el análisis forense.
El malware apunta a dos rutas específicas para su eliminación:
- C:\Users\admin\AppData\Local\Temp\VPN.exe
- C:\ProgramData</span>
Estas eliminaciones se ejecutan utilizando cmd.exe para eliminar el archivo ejecutable principal y cualquier biblioteca de enlaces dinámicos asociada (*.dll) que pueda haberse cargado durante la ejecución. Comprender este comportamiento permite a los analistas centrarse en recuperar y analizar estos caminos para recopilar cualquier evidencia forense residual.
Respuesta: C:\ProgramData\
Comprender el comportamiento del malware después de la exfiltración de datos puede brindar información sobre sus técnicas de evasión. Después de exfiltrar los datos del usuario, ¿cuántos segundos tarda el malware en autoeliminarse?
Self-deletion es una táctica común utilizada por el malware para borrar su presencia en la máquina de la víctima después de completar sus tareas.
Este comportamiento ayuda al malware a evitar la detección y el análisis forense al eliminar archivos ejecutables y artefactos relacionados.
La autoeliminación a menudo implica comandos que programan la eliminación de los archivos del malware y pueden ejecutarse después de un retraso para garantizar que las operaciones maliciosas se completen primero.
El malware utiliza un comando para eliminarse 5 segundos después de la ejecución.
Este retraso permite que complete sus operaciones (como exfiltrar datos del usuario) antes de borrar sus rastros. La ejecución de este comando garantiza que el malware minimice la probabilidad de detección y análisis.
Respuesta: 5 segundos
0x03 Resumen
| Fase | Acción | Evidencia / IOC |
|---|---|---|
| Delivery | Email con adjunto malicioso | Compilado: 2022-09-28 17:40:46 UTC |
| C2 Communication | Conexión a servidor C2 | 171.22.28.221 |
| Loading | Descarga de dependencias | sqlite3.dll (primera biblioteca) |
| Decryption | Descifrado de configuración | RC4 key: 532951462...9009 |
| Credential Theft | Robo de contraseñas de navegadores | MITRE T1555 |
| Cleanup | Eliminación de DLLs y autoeliminación | C:\ProgramData\ → 5s delay |
0x04 Lecciones
Claves extraídas del laboratorio
1. Timestamps como inteligencia: El tiempo de compilación del malware permite establecer la cronología del ataque y correlacionarlo con campañas conocidas.
Un malware compilado meses antes de su detección indica evasión prolongada.
2. Bloqueo de IOCs en el perímetro: La IP del C2 (171.22.28.221) debe añadirse inmediatamente a las listas de bloqueo del firewall y a las reglas del IDS/IPS.
Monitorear conexiones a esta IP puede revelar otros sistemas comprometidos.
3. sqlite3.dll como indicador: La solicitud de bibliotecas legítimas (sqlite3.dll) por parte de un ejecutable sospechoso es un patrón de comportamiento detectable.
Las reglas de detección deben incluir la descarga de DLLs legítimas por procesos no habituales.
4. Protección de almacenes de contraseñas: La técnica T1555 refuerza la importancia de no almacenar contraseñas en los navegadores sin cifrado adicional.
Soluciones como gestores de contraseñas dedicados con MFA añaden una capa de defensa.
5. Comportamiento anti-forense: La autoeliminación en 5 segundos y la limpieza de DLLs en C:\ProgramData\ muestran la sofisticación del malware.
Las herramientas de EDR que capturan artefactos en tiempo real son esenciales para preservar evidencia antes de la limpieza.
La combinación de plataformas como VirusTotal y Any.Run proporciona al analista una visión completa del ciclo de vida del malware: desde su compilación hasta su autoeliminación, pasando por la exfiltración de datos y la comunicación con el C2.
[EOF] "The malware deletes itself, the evidence shouldn't"