Silver y Cobalt Strike son sofisticadas herramientas de simulación de adversarios ampliamente utilizadas en pruebas de penetración y operaciones del equipo rojo.
Estas herramientas permiten a los investigadores de seguridad emular amenazas persistentes avanzadas al proporcionar características como “canales de comando y control encubiertos” y “capacidades posteriores a la explotación”.
Los analistas de seguridad de The DFIR Report identificaron recientemente el malware Nitrogen que se encontró implementando Sliver y Cobalt Strike en servidores secuestrados como un escáner de IP.
Desarrollo de Silver & Cobalt Strike
Un usuario, sin saberlo, descargó malware disfrazado de “Advanced IP Scanner” desde un sitio web fraudulento promocionado en “Google Ads” e inició una “campaña de nitrógeno”.
La carga útil maliciosa se entrega como un “archivo ZIP” que contiene un “ejecutable Python legítimo” (“setup.exe”) que descarga un “python311.dll modificado” y ejecuta el código Nitrogen.
Fortalezca la seguridad con IA => Seminario web gratuito
Esto llevó a la introducción de sofisticadas “herramientas de acceso remoto”, las balizas “Sliver” y “Cobalt Strike”, que se ofuscaban mediante “Py-Fuscate”.
Los atacantes realizaron un reconocimiento exhaustivo durante ocho días, utilizando PowerView y BloodHound para mapear la red y la estructura de Active Directory.
Gráfico de infección (Fuente – Informe DFIR)
No solo eso, sino que también realizamos movimiento lateral a través del Instrumental de administración de Windows (WMI), el Protocolo de escritorio remoto (RDP) y técnicas Pass-the-Hash.
Las credenciales se recopilaron volcando la memoria LSASS. Aquí, los atacantes crean persistencia a través de tareas programadas, cambios de registro (clave Winlogon\Userinit) y tareas diseñadas que imitan procesos legítimos como OneDrive y Microsoft Edge.
Emplearon una variedad de técnicas de evasión defensiva, incluyendo “desenganche de API”, “ofuscación del sueño” y eludir “AMSI”, “WLDP” y “ETW”.
La inyección de proceso se utilizó para aumentar los privilegios mediante la inyección en 'winlogon.exe'. La exfiltración de datos se logró utilizando la herramienta de copia de seguridad de código abierto Restic y transfiriendo archivos a un servidor en Bulgaria.
En la etapa final, los atacantes utilizaron el protocolo Server Message Block (SMB) y PsExec para implementar el ransomware BlackCat en la red.
Usan la red para forzar el reinicio de los sistemas en “modo seguro” con el fin de eludir las medidas de seguridad aprovechando una “cuenta de servicio de respaldo comprometida” para iniciar sesión automáticamente a través de “Winlogon”.
Ayuda a difundir el cifrado de archivos y deja una nota de rescate en el “host afectado”. Según el informe del DFIR, el tiempo de aparición del ransomware (TTR) fue de aproximadamente 156 horas, con más de ocho días naturales desde el compromiso inicial hasta la implementación completa.
Nota de rescate (Fuente: Informe DFIR)
El incidente involucró a atacantes que utilizaban servidores C2 ubicados en Bulgaria y los Países Bajos.
En el “puerto 441”, el atacante podría utilizar direcciones IP específicas (“91.92.250.158”, “91.92.251.240”, “94.156.67.175”, “94.156.67.180”) y un “certificado HTTPS no confiable” (número de serie “1657766544761773100 “).
Los atacantes también utilizaron 'RedGuard' y 'Sliver' en los servidores con certificados no válidos. Utilizó “Restic” para transferir información confidencial a través de “HTTP” a un servidor en “195.123.226.84:8000”
Cronología (Fuente – Informe DFIR)
Los actores de amenazas implementaron scripts por lotes (“up.bat” y “1.bat”) a través de la red y utilizaron “PsExec” para ejecutar comandos remotos.
Estos guiones realizaron las siguientes acciones importantes:-
Restableciendo su contraseña. Cambiar la configuración de arranque del sistema. Configurar un mecanismo de inicio de sesión automático.
Además de esto, la etapa final implicó una implementación de ransomware que “cifraba archivos”, “eliminaba instantáneas de volúmenes” y dejaba una “nota de rescate” para evitar una fácil recuperación.
A lo largo del ataque, los atacantes utilizaron varias utilidades de Windows como 'bcdedit', 'reg' y 'shutdown' para manipular la configuración del sistema y garantizar la persistencia.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
Nitrogen Malware As IP Scanner Deploying Sliver & Cobalt Strike On Hijacked Server
