// Laboratorio de Threat Intelligence: Yellow RAT
// Análisis de malware Yellow Cockatoo: RAT .NET, C2, persistencia y evasión
// Dificultad: Easy
*DISCLAMER* -> Este writeup es con fines educativos y de práctica profesional. Las respuestas mostradas corresponden al laboratorio público de CyberDefenders. Los hashes, dominios e IPs pertenecen al escenario controlado del reto, no a infraestructura real en producción.
SERIE // CyberDefenders Labs #04
0x00 Introducción
Cuarto post de la serie de laboratorios de CyberDefenders.
En este nos enfrentamos a Yellow RAT, un laboratorio de Threat Intelligence donde investigamos un incidente real en una empresa ficticia, GlobalTech Industries, que detectó tráfico de red anómalo y redirecciones sospechosas en las búsquedas de sus empleados.
El análisis nos lleva a identificar un Remote Access Trojan (RAT) basado en .NET que opera en memoria, establece comunicación con servidores C2, descarga cargas útiles secundarias y mantiene persistencia en los sistemas infectados.
Utilizaremos VirusTotal como herramienta principal para analizar hashes, clasificar la amenaza, extraer IOCs y mapear el comportamiento del malware a lo largo de su ciclo de vida.
0x01 El Escenario
| Elemento | Detalle |
|---|---|
| Familia de malware | Yellow Cockatoo (.NET RAT) |
| Síntomas detectados | Tráfico de red anormal, redirecciones de búsquedas a sitios desconocidos |
| Evidencia | Artefactos de malware, hashes sospechosos |
| Herramienta | VirusTotal |
| Misión | Clasificar la amenaza, extraer IOCs, identificar C2 y componentes persistentes |
0x02 Análisis
Conocer al adversario es fundamental para defenderse. ¿Cómo se llama la familia de malware que provoca el tráfico de red anormal?
Para investigar el tráfico anómalo, el primer paso es analizar la muestra sospechosa e identificar su comportamiento.
La muestra marcada durante la investigación resultó ser un archivo DLL malicioso con comportamiento consistente con un Remote Access Trojan (RAT).
Los RATs son especialmente peligrosos porque permiten al atacante controlar de forma remota los sistemas infectados, ejecutar comandos, exfiltrar datos y desplegar cargas útiles adicionales.
El análisis profundo de la muestra reveló su asociación con la familia Yellow Cockatoo.
Se trata de un RAT basado en .NET diseñado para ejecutar comandos directamente en memoria, evitando los mecanismos de detección basados en disco.
Sus capacidades principales incluyen:
- Establecer conexiones con servidores C2
- Descargar cargas útiles secundarias
- Ejecutar comandos en bucle para mantener persistencia
- Recopilar información del host (SO, configuración de red, credenciales almacenadas)
La validación se realiza verificando los hashes SHA256/MD5 contra bases de datos como VirusTotal.
El comportamiento de la muestra, junto con su firma hash, coincidió con los patrones conocidos de Yellow Cockatoo, confirmando su participación en el incidente.
Respuesta: YellowCockatoo
Conocer los nombres de archivo que utiliza el malware permite escanear otras estaciones de trabajo en busca de infecciones. ¿Cuál es el nombre de archivo común asociado con el malware?
Identificar los nombres de archivo que utiliza el malware es clave para la fase de contención.
Permite a los equipos de seguridad realizar búsquedas masivas en los endpoints de la organización y detectar infecciones adicionales que puedan haber pasado desapercibidas.
El archivo ha sido marcado como malicioso por 59 de 72 proveedores de seguridad, lo que confirma sin ambigüedad su naturaleza maliciosa.
Las etiquetas de los distintos motores antivirus lo clasifican como trojan.msil/polazert y Win32:MalwareX-gen, lo que indica que funciona como dropper o loader capaz de descargar y ejecutar cargas útiles adicionales en el sistema infectado.
Este nombre de archivo, junto con su hash SHA256, se convierte en un IOC que los equipos de seguridad pueden utilizar con herramientas EDR para hacer búsquedas a lo largo de la red, o para bloquear directamente el hash en las soluciones de seguridad del entorno.
Respuesta: 111bc461-1ca8-43c6-97ed-911e0e69fdf8.dll
La marca de tiempo de compilación revela información sobre el cronograma de desarrollo e implementación del malware. ¿Cuál es la marca de tiempo de compilación?
La marca de tiempo de compilación indica cuándo el código fuente del malware fue convertido en un ejecutable.
Es un dato valioso para los analistas porque permite correlacionar la creación del malware con campañas conocidas, identificar si es una amenaza reciente o antigua, y evaluar cuánto tiempo permaneció sin ser detectada.
Las propiedades del archivo revelan que fue compilado el 2020-09-24 a las 18:26:47 UTC.
Por otro lado, la marca de tiempo "First Seen In The Wild" registra la fecha 2021-04-12 10:51:04 UTC, lo que revela una brecha de aproximadamente 7 meses entre la compilación y el primer uso detectado en ataques reales. Esto puede indicar tiempo dedicado a pruebas, refinamiento o distribución controlada antes del despliegue a gran escala.
Respuesta: 2020-09-24 18:26:47 UTC
Saber cuándo la comunidad de ciberseguridad identificó por primera vez el malware ayuda a determinar cuánto tiempo pudo estar en el entorno antes de su detección. ¿Cuándo se envió el malware por primera vez a VirusTotal?
La fecha de primer envío a VirusTotal marca el momento en que la comunidad tuvo conocimiento público de la muestra.
Comparándola con la marca de compilación y la primera detección en la naturaleza, como analista puedes reconstruir el cronograma completo del malware y estimar su tiempo de permanencia (dwell time) dentro de un entorno antes de ser descubierto.
El malware fue enviado por primera vez a VirusTotal el 2020-10-15 a las 02:47:37 UTC, apenas 21 días después de su compilación.
Esta proximidad temporal sugiere que el malware fue detectado relativamente pronto tras su distribución inicial, proporcionando un punto de partida para correlacionar con registros y eventos de red de esa fecha.
Respuesta: 2020-10-15 02:47:37 UTC
Para erradicar completamente la amenaza, necesitamos identificar todos los componentes que deja el malware en disco. ¿Cuál es el nombre del archivo .dat que el malware coloca en la carpeta AppData?
Los atacantes frecuentemente depositan archivos en la carpeta AppData por su accesibilidad y porque es un directorio que las aplicaciones legítimas también utilizan, lo que facilita camuflarse.
Identificar todos los componentes que el malware deja en disco es imprescindible para una limpieza completa.
La investigación revela que el malware deposita un archivo llamado solarmarker.dat en el directorio %USERPROFILE%\AppData\Roaming\.
Este archivo puede almacenar datos de configuración, registrar actividad o servir como mecanismo de persistencia.
Al estar en la carpeta Roaming, tiene el potencial de replicarse entre múltiples perfiles de usuario en un mismo sistema, complicando la limpieza.
Los equipos de seguridad deben escanear esta ruta específica en todos los endpoints, verificar si hay procesos o servicios que referencien este archivo y eliminar cualquier entrada de registro o tarea programada asociada para garantizar la erradicación completa.
Respuesta: solarmarker.dat
Es fundamental identificar los servidores C2 para bloquear la comunicación y evitar una mayor exfiltración de datos. ¿Cuál es el servidor C2 con el que se comunica el malware?
Identificar la infraestructura C2 es crítico para cortar la capacidad del atacante de controlar las máquinas comprometidas.
Bloquear estos servidores a nivel de red interrumpe la operación del malware e impide la descarga de cargas útiles adicionales.
El análisis del malware Yellow Cockatoo revela que uno de los dominios con los que se comunica es gogohid.com.
Este dominio actúa como servidor C2, facilitando la comunicación entre los hosts infectados y la infraestructura del atacante.
Además, la investigación apunta a la subred 45.146.165.X como parte de la infraestructura C2.
Los equipos de seguridad deben implementar reglas de firewall e IPS para bloquear conexiones a estos endpoints de forma inmediata.
Respuesta: gogohid.com
0x03 Resumen del Ataque
| Fase | Acción | IOC |
|---|---|---|
| Delivery | DLL maliciosa desplegada en estaciones de trabajo | 111bc461-...fdf8.dll |
| Ejecución | RAT .NET ejecuta comandos en memoria | Yellow Cockatoo |
| Persistencia | Archivo .dat en AppData\Roaming | solarmarker.dat |
| C2 | Comunicación con infraestructura del atacante | gogohid.com / 45.146.165.X |
| Timeline | Compilación → Submission → First Seen ITW | 2020-09 → 2020-10 → 2021-04 |
0x04 Lecciones Aprendidas
NOTA: Insights clave extraídos del análisis de Threat Intelligence del laboratorio
1. Ejecución en memoria como evasión
Yellow Cockatoo ejecuta comandos directamente en memoria, evitando la detección basada en disco.
Las soluciones EDR con capacidad de inspección de memoria y detección de comportamiento son esenciales para detectar este tipo de amenazas.
2. Cronología como inteligencia
La brecha de 7 meses entre compilación (2020-09) y primera detección en la naturaleza (2021-04) demuestra la importancia de correlacionar múltiples timestamps para reconstruir el ciclo de vida del malware y estimar el dwell time.
3. AppData como refugio
La carpeta AppData\Roaming sigue siendo un directorio favorito de los atacantes.
Las políticas de monitorización deben incluir alertas sobre la creación de archivos .dat sospechosos en estas rutas.
4. Bloqueo de IOCs en tiempo real
El dominio C2 (gogohid.com) y la subred 45.146.165.X deben alimentar inmediatamente los sistemas de firewall, proxy y DNS sinkhole de la organización para contener la amenaza.
5. VirusTotal como arma defensiva
Este laboratorio demuestra que una plataforma de inteligencia como VirusTotal, bien utilizada, permite clasificar la amenaza, extraer IOCs, reconstruir el timeline y generar reglas de detección sin necesidad de ejecutar el malware en un entorno propio.
Un RAT que ejecuta en memoria, persiste en AppData y se comunica con dominios dinámicos es un perfil de amenaza que se repite constantemente en incidentes reales. Saber identificarlo rápidamente marca la diferencia entre contención temprana y compromiso total.
[EOF] "The RAT hides in memory, but the IOCs live forever"