Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Vídeo

Informe de Vectra AI sobre la amenaza de Vectra AI : Salt Typhoon

Informe de Vectra AI sobre la amenaza de Vectra AI : Salt Typhoon
Informe de Vectra AI sobre la amenaza de Vectra AI : Salt Typhoon
Seleccione el idioma que desea descargar
Descargar
Informe de acceso
Gracias por descargarlo.
Acceda a su oferta gratuita a continuación.
Descargar
Descargar
Descargar en francés
Descargar en alemán
Descargar en español
Descargar en japonés
Descargar en italiano

TL;DW: ¿Cómo funciona Salt Typhoon ?

Salt Typhoon sigue una secuencia de ataque estructurada utilizando herramientas integradas en Windows para evitar ser detectado. Aquí tienes un desglose de sus tácticas y los comandos que utiliza.

1. Acceso inicial

Salt Typhoon explota principalmente servidores públicos con vulnerabilidades conocidas. En lugar de recurrir phishing, prefieren los exploits N-day y zero-day para conseguir la ejecución remota de código (RCE).

2. Ejecución y persistencia

Una vez que obtienen acceso, ejecutan cargas útiles maliciosas y garantizan la persistencia utilizando herramientas de Windows.

Ejecución PowerShell:

Utilizan PowerShell para ejecutar scripts sin restricciones:

powershell -ex bypass -c "<password>"
  • -ex bypass: Anula la política de ejecución para permitir que se ejecute el script.
  • <password>: Clave utilizada para descifrar el script, que suele estar cifrado.

Persistencia registral:

Para asegurarse de que malware se ejecuta cada vez que un usuario inicia sesión, añaden una clave de registro:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "<malware_name>" /t REG_SZ /d "<malware_path>" /f
  • "HKCUSoftware\Microsoft\Windows\CurrentVersion\Run": Ubicación en el registro de los programas de inicio automático.
  • REG_SZ: Especifica un valor de cadena (la ruta malware ).
  • /f: Fuerza la ejecución sin confirmación.

3. Reconocimiento

Salt Typhoon recopila información sobre el entorno antes de escalar privilegios.

Utilización de la línea de comandos WMIC (Windows Management Instrumentation Command-line)

wmic process get name,processid,commandline
  • Lista todos los procesos en ejecución y los argumentos de la línea de comandos.

Utilizando grupo neto para identificar a los administradores de dominio

cmd /c "net grupo 'admins dominio' /dominio"
  • Consulta Active Directory en busca de cuentas de administrador de dominio.
  • /dominio: Asegura que la consulta se aplica al dominio de Active Directory en lugar de sólo a la máquina local.

4. Robo de credenciales y escalada de privilegios

Tras el reconocimiento, escalan privilegios y roban credenciales.

Despliegue de herramientas de robo de credenciales

Instalan herramientas como:

  • Mimikatz (extrae las credenciales de memoria).
  • Keyloggers (registra las pulsaciones del teclado).
  • Utilidades de volcado de credenciales.

Escalada de privilegios a través de Cobalt Strike

Despliegan Cobalt Strikeuna herramienta legítima de red teaming, para obtener privilegios de SISTEMA y profundizar en la red.

5. Movimiento lateral

Salt Typhoon se propaga por la red utilizando varias utilidades de Windows.

Copia de un archivo por lotes a otra máquina

copy \\<target_ip>\C$\Windows\Temp\malware.bat
  • Utiliza \\<target_ip> para especificar una carpeta compartida en otra máquina.
  • Coloca un script por lotes (.bat) que se ejecutará a distancia.

Ejecución del script copiado a través de WMIC

wmic /node:<target_ip> process call create "cmd /c C:\Windows\Temp\malware.bat"
  • /node:<target_ip>: Especifica el máquina objetivo.
  • proceso llamada crear: Ejecuta un proceso de forma remota.
  • cmd /c: Ejecuta el archivo por lotes copiado.

Creación de una puerta trasera utilizando los servicios de Windows (sc crear)

sc \\<target_ip> create VGAuthtools binpath= "C:\Windows\System32\installutil.exe C:\Windows\Temp\malware.exe" start= auto type= own
  • sc: Utilidad de control de servicios de Windows.
  • \\<target_ip>: Crea el servicio a distancia en otra máquina.
  • VGAuthtools: Disfraza malware como una herramienta legítima.
  • binpath: Utiliza installutil.exe (a herramienta legítima de Windows) para ejecutar el carga maliciosa.
  • inicio= auto: Garantiza la persistencia reiniciando el malware cada vez que se reinicia la máquina.

6. Command & Control (C2) + Exfiltración de datos

Salt Typhoon establece una comunicación persistente con sus servidores C2.

MalwareCobalt Strike y Demodex

  • Envía "latidos" para señalar a las máquinas comprometidas.
  • Recibe nuevas instrucciones y actualizaciones.
  • Exfiltra credenciales robadas y datos sensibles.

Abuso de los servicios de Cloud para la exfiltración

Salt Typhoon evita la detección utilizando plataformas de confianza para cargar los datos robados:

  • AnonFiles
  • Archivo.io
  • GitHub
  • Gmail

7. Espionaje continuado e impacto

Salt Typhoon monitoriza continuamente las redes comprometidas y roba datos sensibles durante un periodo prolongado.

    ----

    ¿Cómo puede Vectra AI detectar estos ataques?

    La plataforma Vectra AIse centra en comportamientos de ataque reales, no sólo en amenazas conocidas. Esto le permite detectar actividadesSalt Typhoon incluso cuando los atacantes utilizan herramientas integradas de Windows.

    • ‍Acceso remoto y ejecución inusuales
    • Actividad sospechosa de Kerberos
    • Anomalías de privilegios e intentos de fuerza bruta SMB
    • Túneles ocultos y actividad PowerShell sospechosa

    Obtenga más información sobre nuestras detecciones basadas en IA o pruebe nuestra demostración autoguiada.

    Con la confianza de expertos y empresas de todo el mundo

    Preguntas frecuentes