En busca de Stuxbot — Ronda 2 (Hunting Playbook)

En esta segunda ronda de investigación, profundizamos en la evolución operativa de Stuxbot, un malware avanzado con capacidades de persistencia y movimiento lateral dentro de redes corporativas.

🧠 Objetivo: Analizar las evidencias recolectadas en Elastic SIEM y descubrir nuevos patrones del adversario.

Las versiones más recientes del malware muestran tres tácticas clave:

1️⃣ Uso del directorio público (C:\Users\Public) como medio para desplegar herramientas adicionales.
2️⃣ Persistencia mediante claves de ejecución del registro (Run / RunOnce).
3️⃣ Movimiento lateral con PowerShell Remoting hacia otros equipos, incluido el controlador de dominio (DC1).

Toda la telemetría se analiza desde Elastic Stack (SIEM) → pestaña Discover.

Fuentes de logs:

• 🪟 windows* → Eventos de Windows y Sysmon

• ⚡ PowerShell logs (también bajo windows*)

• 🌐 zeek* → Tráfico y conexiones de red

🕓 Rango de tiempo: últimos 15 años

Ubicación del panel:
http://[TargetIP]:5601

Crea una consulta KQL para buscar evidencia de transferencia de herramientas hacia C:\Users\Public.

👉 Ingresar el valor del campo user.name del documento asociado a una herramienta cuyo nombre empieza con “r”.

¿Qué hace esta consulta?
Busca cualquier creación o modificación de archivo en el directorio público de Windows
(C:\Users\Public) cuyo nombre comience con la letra r (por ejemplo rclone.exe, rundll32.exe, revshell.ps1, etc.).

Este patrón es característico del movimiento lateral o staging de herramientas.

¿Qué hace esta consulta?
Busca cualquier creación o modificación de archivo en el directorio público de Windows (C:\Users\Public) cuyo nombre comience con la letra r — como rclone.exe, rundll32.exe o revshell.ps1.

Este patrón es característico del movimiento lateral o staging de herramientas.

Conclusión:
El atacante usó svc-sql1 para transferir herramientas al directorio público, permitiendo acceso compartido y ejecución lateral.

🎯 MITRE ATT&CK: T1105 — Ingress Tool Transfer

Busca evidencia de persistencia mediante claves Run / RunOnce.

👉 Ingresar el valor del campo registry.value relacionado con la primera acción detectada.

Los adversarios pueden lograr persistencia agregando un programa a una carpeta de inicio o una clave de ejecución del registro.

Esto provoca que el programa se ejecute automáticamente cuando un usuario inicia sesión.

Rutas comunes:

• 🧩 HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• 🧩 HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

• 🧩 HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• 🧩 HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

🔗 Fuente: MITRE ATT&CK T1547.001 — Registry Run Keys / Startup Folder

Crea una consulta KQL para detectar casos en los que se hayan agregado programas a las claves del registro que inician automáticamente procesos maliciosos.

Este archivo no es sospechoso solo por su nombre, sino por su ubicación inusual, cadena de ejecución y persistencia RunKey.

Se trata de un svchost.exe falso desplegado como parte de la cadena de ataqu

Identifica eventos de PowerShell Remoting hacia el controlador de dominio DC1.

👉 Ingresar el valor de winlog.user.name asociado a esta actividad.

El PowerShell Remoting (basado en WinRM) permite ejecutar comandos en sistemas remotos.
Es una táctica común para movimiento lateral (T1021.006).

La ejecución se registra en el Event ID 4104, que guarda el bloque de script ejecutado (Enter-PSSession, Invoke-Command, etc.).

¿Qué hace?
Busca ejecuciones de PowerShell interactivo remoto (Enter-PSSession o Invoke-Command)
apuntando específicamente al controlador de dominio DC1.

Conclusión del Hunt 3:
El atacante empleó PowerShell Remoting con credenciales válidas (svc-sql1) para acceder al controlador de dominio (DC1).

🎯 MITRE ATT&CK: T1021.006 — Remote Services: PowerShell