Recientemente en Rogarnfels hemos echo un estudio de una campaña de malware dirigido. La actividad destaca por su innovador uso de los registros de eventos de Windows para el almacenamiento de malware o la impresionante variedad de técnicas de los atacantes. La actividad destaca por su innovador uso de los registros de eventos de Windows para el almacenamiento de malware o la impresionante variedad de técnicas de los atacantes como las suites comerciales de pentesting y los wrappers antidetección, incluidas los compilados con Go-. Durante la campaña se emplean diversos troyanos de última fase.
Los atacantes emplearon dos tipos de troyanos para la última etapa con el fin de obtener un mayor acceso al sistema. Los servidores de Comando y Control entregan de dos maneras: a través de HTTP y mediante el uso de named pipes. Algunas versiones de troyanos consiguieron utilizar un sistema de comandos que contenía docenas de comandos desde el C2. a campaña también incluía herramientas comerciales de pentesting, concretamente SilentBreak y CobaltStrike, combinando así técnicas conocidas con descifradores personalizados. Asimismo, es la primera vez que se observa el uso de los registros de eventos de Windows para ocultar códigos Shell en el sistema. En rogarnfels apostamos siempre por el progreso y la innovación, por eso siempre estamos estudiando nuevas amenazas, y como resolverlas, por eso, como agentes digitalizadores y certificados en la ISO:9001, nos preocupamos por la calidad de nuestro servicio. Contactanos para mas información, y solicita tu Kit Digital totalmente GRATUITA.
