Curiosidades De Hackers
CSIRTDFIRForense Digital

Reconstruyendo una Intrusión desde Memoria Mediante Oneetx.exe. Identificación de un Stealer y su Infraestructura C2

CuriosidadesDeHackers

Introducción

Las amenazas modernas rara vez dejan toda la evidencia en disco. Los atacantes son conscientes de que los antivirus, EDR y analistas forenses suelen centrar gran parte de sus investigaciones en el sistema de archivos, por lo que cada vez es más habitual encontrar malware que ejecuta parte de su actividad directamente en memoria, descarga componentes bajo demanda o elimina rastros tras completar su misión.

En este escenario, una captura de memoria puede convertirse en la prueba más valiosa de toda la investigación.

Durante este análisis examinaremos una imagen de memoria perteneciente a un sistema Windows 10 comprometido. Nuestro objetivo será reconstruir la actividad realizada por el atacante, identificar los procesos implicados, localizar comunicaciones externas, recuperar artefactos asociados a la infección y extraer el malware responsable para su posterior análisis.

A lo largo de la investigación utilizaremos Volatility 3 como herramienta principal, complementando los hallazgos con técnicas de Threat Intelligence para comprender mejor el alcance del compromiso.

Primeros Pasos: Identificando el Entorno Analizado

Toda investigación comienza obteniendo contexto.

Antes de buscar malware o conexiones sospechosas necesitamos conocer las características del sistema analizado.

vol3 -f MemoryDump.mem windows.info

EVIDENCIA 1

La información obtenida nos permite identificar un sistema Windows 10 Build 19041 de 64 bits.

La captura fue realizada el 21 de mayo de 2023 a las 23:02 UTC, dato que posteriormente utilizaremos para correlacionar procesos y comunicaciones de red.

Con el entorno identificado podemos comenzar el proceso de triage.

Triage de Procesos: Buscando al Intruso

Uno de los primeros objetivos en cualquier análisis de memoria consiste en identificar procesos anómalos.

Para ello utilizamos dos plugins fundamentales de Volatility:

vol3 -f MemoryDump.mem windows.pslist
vol3 -f MemoryDump.mem windows.psscan

Mientras que pslist recorre la lista enlazada de procesos mantenida por Windows, psscan busca directamente estructuras EPROCESS en memoria.

La diferencia es importante.

Un atacante puede intentar ocultar un proceso desvinculándolo de la lista principal, pero seguirá siendo detectable mediante técnicas de pool scanning.

EVIDENCIA 2

Durante la revisión aparecen varios nombres interesantes:

  • oneetx.exe
  • tun2socks.exe
  • Outline.exe
  • notepad.exe

Entre todos ellos destaca especialmente oneetx.exe.

Su nombre no corresponde a ningún binario legítimo conocido y su actividad temporal coincide con otros indicadores observados posteriormente durante la investigación.

Este proceso se convierte inmediatamente en nuestro principal sospechoso.

Siguiendo la Cadena de Ejecución

Identificar un proceso sospechoso es solo el principio.

Ahora necesitamos entender cómo llegó a ejecutarse y qué actividad generó.

Para ello analizamos su árbol de procesos:

vol3 -f MemoryDump.mem windows.pstree --pid 5896

EVIDENCIA 3

La jerarquía muestra un comportamiento interesante.

El proceso oneetx.exe genera una instancia de rundll32.exe.

La utilización de rundll32 es extremadamente habitual en malware moderno debido a que se trata de un binario legítimo firmado por Microsoft y presente en cualquier instalación de Windows.

Además, el ejecutable original se encuentra almacenado dentro del directorio temporal del usuario:

C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

Los directorios temporales son uno de los lugares preferidos por loaders, stealers y troyanos descargadores para desplegar componentes durante una infección.

Evidencias de Ejecución Directamente en Memoria

Una vez identificado el proceso principal, el siguiente paso consiste en comprobar si existen regiones de memoria sospechosas.

Para ello utilizamos malfind:

vol3 -f MemoryDump.mem windows.malfind --pid 5896

EVIDENCIA 4

Los resultados muestran una región marcada como:

PAGE_EXECUTE_READWRITE

Este tipo de permisos permiten leer, escribir y ejecutar código simultáneamente.

Además, la región contiene una cabecera MZ, característica de los ejecutables PE de Windows.

La combinación de ambos indicadores suele asociarse con técnicas de:

  • Reflective Loading
  • Process Injection
  • Fileless Malware
  • Memory Resident Payloads

Todo apunta a que el malware está ejecutando parte de su código directamente desde memoria.

Procesos Asociados a la Infraestructura de Red

Durante el triage inicial también se identificaron varios procesos relacionados con servicios VPN.

Para comprender mejor su función analizamos nuevamente la jerarquía de ejecución.

vol3 -f MemoryDump.mem windows.pstree --pid 6724

EVIDENCIA 5

La salida revela la presencia de Outline VPN junto con tun2socks.

Aunque no constituyen indicadores directos de compromiso, sí resultan relevantes para entender cómo podría haberse encapsulado o redirigido parte del tráfico de red observado durante la investigación.

Descubriendo la Infraestructura del Atacante

Una vez identificado el malware, la siguiente pregunta es evidente:

¿Con quién estaba comunicándose?

Para responderla recurrimos a netscan.

vol3 -f MemoryDump.mem windows.netscan

EVIDENCIA 6

Entre todas las conexiones destaca una especialmente interesante.

El proceso oneetx.exe mantiene comunicación con:

77.91.124.20

a través del puerto HTTP 80.

La conexión se produce apenas unos minutos antes de la adquisición de memoria, situándola temporalmente dentro de la ventana de compromiso.

Este hallazgo convierte dicha dirección IP en uno de los principales IOC de la investigación.

Recuperando Artefactos Desde Memoria

Con la dirección IP identificada podemos buscar referencias adicionales dentro de la propia memoria.

Para ello utilizamos bstrings.

bstrings.exe -f MemoryDump.mem --ls 77.91.124.20

EVIDENCIA 7

Los resultados muestran múltiples referencias asociadas al servidor remoto.

Entre ellas destaca:

http://77.91.124.20/store/games/index.php

Además aparecen varios archivos potencialmente descargados desde dicha infraestructura:

  • fotocr45.exe
  • foto0195.exe
  • clip64.dll

Estos artefactos sugieren que el servidor actuaba como repositorio de payloads adicionales utilizados durante la intrusión.

Localizando el Malware en Disco

Aunque gran parte de la actividad ocurre en memoria, todavía es posible recuperar información sobre el ejecutable original.

vol3 -f MemoryDump.mem windows.filescan

EVIDENCIA 8

La búsqueda permite localizar el binario responsable de la actividad observada:

C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

La ubicación coincide con la observada previamente durante el análisis del árbol de procesos.

Extracción y Análisis del Binario

Con el objeto identificado procedemos a extraerlo desde memoria.

vol3 -f MemoryDump.mem windows.dumpfiles --virtaddr 0xad818ef1a0b0

EVIDENCIA 9

La extracción genera una copia íntegra del ejecutable que posteriormente puede analizarse en entornos controlados.

El hash SHA256 obtenido fue:

8d5d5bbdccb82a10ac28e2779ba0821f12da3e1f08f03ec467ce213a6fccf38c

Threat Intelligence y Clasificación de la Amenaza

Con la muestra recuperada realizamos una consulta en VirusTotal.

EVIDENCIA 10

Los resultados muestran detecciones por parte de 32 motores antivirus.

La clasificación predominante identifica la muestra como:

  • Trojan
  • Downloader
  • Stealer

Varios fabricantes la asocian específicamente con la familia Mars Stealer.

Los hallazgos encajan perfectamente con la actividad observada durante el análisis:

  • Ejecución desde directorios temporales.
  • Comunicación con infraestructura externa.
  • Descarga de componentes adicionales.
  • Presencia de código ejecutable directamente en memoria.

Indicadores de Compromiso

Dirección IP

77.91.124.20

URL Observada

hxxp://77[.]91[.]124[.]20/store/games/index.php

Ejecutable

oneetx.exe

Ruta

C:\Users\Tammam\AppData\Local\Temp\c3912af058\oneetx.exe

SHA256

8d5d5bbdccb82a10ac28e2779ba0821f12da3e1f08f03ec467ce213a6fccf38c

Conclusiones

La investigación demuestra cómo una única captura de memoria puede proporcionar suficiente información para reconstruir una intrusión completa.

Mediante Volatility 3 fue posible identificar el proceso responsable de la infección, detectar evidencias de ejecución en memoria, recuperar comunicaciones de red y extraer el malware utilizado por el atacante.

La correlación entre artefactos de memoria, actividad de red y Threat Intelligence permitió atribuir la muestra a una amenaza compatible con Mars Stealer, confirmando una cadena de compromiso basada en la descarga y ejecución de componentes maliciosos desde infraestructura remota.

Este caso vuelve a poner de manifiesto la importancia del análisis forense de memoria dentro de cualquier investigación DFIR moderna, especialmente frente a amenazas que intentan reducir su huella en disco y dificultar la respuesta ante incidentes.


También te puede gustar

Tras la Huella de StrelaStealer Análisis Forense de Memoria y Reconstrucción de un Compromiso Mediante PowerShell, WebDAV y Rundll32

CuriosidadesDeHackers

Exterro FTK Imager: Herramienta Esencial para Forense Digital y Respuesta a Incidentes

CuriosidadesDeHackers

Chainsaw: la herramienta del DFIR para tu CSIRT (rápida, precisa y lista para cazar)

CuriosidadesDeHackers

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *