La industria de TI ha sido testigo de un aumento incesante de los ataques de malware. Según el Informe sobre Ciberamenazas 2022 de SonicWall, en 2022 se detectaron casi 2.800 millones de ataques de malware. Aproximadamente, el 30% de estos ataques se llevaron a cabo mediante correos electrónicos que contenían enlaces y archivos adjuntos maliciosos. El 10 de junio de 2022, uno de estos programas maliciosos ―Dark Crystal, también conocido como DCRat― sacudió Ucrania. Se trata de un troyano de acceso remoto (RAT) que ha estado recibiendo actualizaciones regulares y nuevos módulos desde 2018. DCRat incluye su propio entorno de desarrollo integrado (IDE). Este permite el acceso remoto y el control de un dispositivo infectado.
La ejecución del ataque
Los ataques de DCRat suelen emplear diversas estrategias. Estas incluyen el malspam, el phishing, el spear phishing, el uso de software comercial pirateado ―como los actualizadores maliciosos― y el uso de software antivirus pirateado ―como Microsoft Defender― para obtener y ejecutar la carga útil .NET de DCRat en el equipo de la víctima.
El método de distribución omnipresente se basa en las campañas de spam. En estas se envían miles de correos electrónicos fraudulentos. Un documento malicioso de Microsoft 365 se envía como archivo adjunto a las víctimas potenciales. Dicho documento contiene un código de macro que suelta y ejecuta un script por lotes llamado c:\user\public\new.bat. Cuando la víctima abre el documento, el script se ejecuta en PowerShell para descargar la carga útil de segunda fase. Esta se encarga de descargar y ejecutar el malware DCRat.
A continuación se describe el proceso básico a través del cual funciona el DCRat:
Fig 1: flujo de trabajo del ataque DCRat.
La siguiente tabla enumera las diversas tácticas y técnicas del marco ATT&CK relevantes para un ataque de malware DCRat.
|
Táctica |
Técnica |
Descripción |
|
Reconocimiento |
Recopilar información sobre el host víctima (T1592.001) (T1592.002) Recopilar información sobre la red víctima (T1590.005) |
Los atacantes obtienen acceso a información sobre el dispositivo objetivo. Esta puede recopilarse mediante diversas técnicas, como el phishing y el análisis activo. Los atacantes intentan recopilar la dirección IP de la víctima. Esta puede ser utilizada durante el ataque. |
|
Acceso inicial |
Phishing: Adjunto de spear phishing (T1566.001) |
Los atacantes intentan obtener acceso al dispositivo comprometido a través de correos electrónicos de spear phishing. |
|
Ejecución |
Intérprete de comandos y scripts: PowerShell (T1059.001) Intérprete de comandos y scripts: Shell de comandos de Windows (T1059.003) |
Los atacantes abusan de los comandos y scripts PowerShell para su ejecución. Los atacantes también pueden abusar del símbolo del sistema de Windows para controlar cualquier aspecto del sistema de la víctima con diferentes niveles de permisos. |
|
Ejecución, persistencia y ejecución de privilegios |
Tarea programada/Trabajo: Tarea programada (T1053.005) |
Los atacantes abusan del programador de tareas de Windows para ejecutar código malicioso. Utilizan el wrapper .NET para la programación de tareas. |
|
Evasión de la defensa |
Enmascaramiento (T1036) |
Los atacantes manipulan las funciones para que parezcan legítimas al usuario. |
|
Evasión de la defensa |
Archivos o información ofuscados (T1027) |
Los atacantes intentan dificultar el análisis del archivo cifrando su contenido. |
|
Evasión de la defensa |
Ejecución del proxy binario del sistema: Mshta (T1218.005) |
Los adversarios pueden abusar de mshta.exe para ejecutar por proxy archivos HTA y JavaScript maliciosos a través de una herramienta de Windows de confianza. |
|
Descubrimiento |
Descubrimiento de la hora del sistema (T1124) |
El atacante intenta descubrir la zona horaria del sistema remoto con la ayuda de ejecutables .NET. |
|
Mando y control |
Transferencia de herramientas de entrada (T1105) |
Los atacantes transfieren herramientas o archivos desde su sistema externo al sistema comprometido. |
|
Impacto |
Destrucción de datos (T1485) |
Los atacantes intentan destruir, modificar, crear o sobrescribir archivos en sistemas específicos. |
|
Impacto |
Apagado/Reinicio del sistema (T1529) |
Los atacantes pueden intentar reiniciar o apagar los sistemas para interrumpir el acceso. |
Mejores prácticas para prevenir un ataque RAT
- Actualice con frecuencia sus sistemas operativos, programas y software antivirus. Las correcciones de seguridad que corrigen los fallos que los RAT podrían explotar usualmente se incluyen en las actualizaciones de software.
- Asegúrese de que el firewall esté activado en cada uno de sus dispositivos para evitar conexiones entrantes y salientes no aprobadas.
- Evite realizar descargas desde sitios web no identificados o dudosos. Pueden albergar archivos maliciosos. Utilice un software antivirus o antimalware de confianza. Ejecute análisis del sistema con frecuencia para encontrar y deshacerse de cualquier RAT o malware potencial.
- Adopte prácticas de navegación seguras y mantenga la cautela durante las interacciones en línea. Tenga cuidado con los correos electrónicos/mensajes de phishing y los enlaces sospechosos.
- Haga copias de seguridad periódicas de los archivos importantes y guárdelas en un lugar seguro. En caso de infección por RAT u otro incidente de seguridad, dichas copias le permitirán restaurar sus datos sin tener que pagar un rescate o sufrir pérdidas significativas.
¿Cómo puede ayudar una solución de SIEM a hacer frente a este tipo de ataques?
Una solución de SIEM efectiva tendrá funciones para detectar, priorizar, investigar y responder a las amenazas a la seguridad. Puede detectar y ayudar a mitigar varios ataques de malware, incluido el DCRat.
Las siguientes acciones pueden realizarse con una solución de SIEM efectiva:
- Audite PowerShell para ver qué scripts se ejecutan en su sistema, además de los detalles sobre quién ejecutó el script y cuándo se ejecutó.
- Monitoree todos los cambios en los archivos. Estos incluyen cambios de nombre, creación, modificación y eliminación.
- Reciba alertas sobre cualquier actividad inusual. Lo anterior incluye las actividades de malware.
- Analice múltiples eventos en toda su red para identificar amenazas.
- Monitoree y audite los recursos compartidos de red en su organización.
- Controle las actividades sospechosas en sus servidores de archivos y demás endpoints.
- Monitoree los eventos de inicio y cierre de sesión.
Si desea proteger a su empresa de malware como DCRat, regístrese para una demo personalizada de ManageEngine Log360. Conozca nuestra solución de SIEM unificada con funciones de seguridad de datos y seguridad en la nube.
