Es un día como cualquier otro, no he tenido ningún problema ya que todo ha sido cerrado automáticamente. Estoy trabajando duro estudiando nuevos actores de amenazas después de haber completado 10,000 cajas en Hacked the Box. Me enviaron un premio muy codiciado y ahora estoy buscando nuevos desafíos.
Índice
Un alerta inesperada
De repente, mientras estoy inmerso en mi estudio, me interrumpe una alerta en mi computadora. Es una alerta de CrowdStrike que necesita atención inmediata. Parece que han detectado hosts con los que se pueden explotar vía la ejecución del programa «PDF converter» y un archivo llamado «browserupdate.exe» en un hostname.
Inmediatamente tomo control de la situación. Abro la consola de CrowdStrike y puedo sentir la adrenalina corriendo por mis venas. Observo la secuencia de eventos asociados con la alerta. Resulta que se ejecutó la instalación del «PDF converter» y cuatro días después se ejecutó un proceso vinculado llamado «browserupdate.exe». Esto es una señal de alarma roja.
Descargo rápidamente el archivo utilizando la herramienta RTR de CrowdStrike y lo coloco en un sandbox mientras espero que procese. Mientras tanto, investigo un poco sobre el archivo. Obtengo el hash del archivo y lo ejecuto en VirusTotal. Lo que veo me llena de pánico, mi estómago se hunde.
Regreso a la consola de CrowdStrike y bloqueo todos los registros provenientes de ese equipo, evitando cualquier actividad de red además de la conexión con CrowdStrike. En este punto, sé una cosa: esta computadora está comprometida.
El descubrimiento del peor de los escenarios
Reviso el registro de procesos compilado por CrowdStrike y me encuentro con el peor de los escenarios para un analista: cambios en el Registro de Windows relacionados con conexiones de Escritorio Remoto (RDP). Esto solo aumenta las señales de alerta en la confusión en la que se ha convertido mi vida.
Reviso los procesos asociados a la ejecución de «browserupdate.exe» y encuentro comandos de «haskell.exe» siendo ejecutados uno tras otro por el sistema. En ese momento, el sandbox finaliza su ejecución y reviso los resultados. Los resultados me causan náuseas físicas.
Trato de reponerme rápidamente y reviso el tráfico de red introducido por el archivo. Encuentro una conexión saliente a la dirección IP «8221-1418» y ejecuto un análisis en VirusTotal para confirmar el carácter malicioso de la IP. La confirmación llega, la IP es maliciosa. Por suerte, solo cayó una sola computadora en Islandia, está contenida y a salvo.
Sin embargo, tengo que asegurarme de que no haya otros sistemas comprometidos en nuestro entorno. Me adentro en dos herramientas complicadas y misteriosas, de código abierto pero no reveladas, y me registro para verificar si el archivo ha sido visto en otro lugar. Además, verifico si ha habido tráfico adicional hacia la dirección IP del servidor CNC desde otros hosts. No encuentro nada.
Finalmente, envío una solicitud para reimagenar la computadora y cierro la alerta con los pasos de remediación tomados. La crisis ha sido afortunadamente evitada. He salvado a la empresa, pero nadie lo sabrá. No todos los héroes usan capa, algunos usamos máscaras.
Resumen de la información
| Alerta | Paso de remediación |
|---|---|
| Hosts con los que se pueden explotar | Descargar el archivo y ejecutar en sandbox |
| Archivo «browserupdate.exe» | Bloquear registros de la computadora |
| Cambios en el Registro de Windows relacionados con RDP | Buscar otros sistemas comprometidos |
| Comandos de «haskell.exe» | Análisis de tráfico y confirmación de IP maliciosa |
| Reimagenar la computadora | Verificar si existen sistemas adicionales comprometidos |
Preguntas frecuentes
¿Cómo descubrí la alerta?
Recibí una notificación en mi computadora de un archivo y proceso sospechosos detectados por CrowdStrike.
¿Qué hice para remediar la situación?
Descargué el archivo en cuestión y lo ejecuté en un sandbox para analizar su comportamiento. También bloqueé los registros de la computadora para prevenir cualquier actividad maliciosa.
¿Cómo confirmé la naturaleza maliciosa de la IP?
Ejecuté un análisis en VirusTotal utilizando la dirección IP y los resultados confirmaron que era una IP maliciosa.
¿Qué medidas tomé para asegurarme de que no había otros sistemas comprometidos?
Utilicé herramientas adicionales para buscar el archivo en otras fuentes y revisé el tráfico de red para confirmar si había conexiones adicionales a la dirección IP del servidor CNC desde otros hosts.
¿Cuál fue el último paso para cerrar la alerta?
Solicité la reimagenación de la computadora comprometida y aseguré que no había otros sistemas comprometidos.
Espero que esta historia les haya interesado. Recuerden que la ciberseguridad es un trabajo constante y no todos los héroes llevan capa, algunos llevan máscaras. Siguan leyendo nuestros artículos relacionados para seguir aprendiendo sobre las últimas amenazas y cómo protegerse.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!