Ramsay: un conjunto de herramientas de ciberespionaje diseñado para redes con espacios de aire


Los investigadores de ESET descubren varias instancias de malware que usa varios vectores de ataque para atacar sistemas aislados por un espacio de aire

Los investigadores de ESET han descubierto un marco de ciberespionaje no reportado anteriormente que llamamos Ramsay y que está diseñado para la recolección y exfiltración de documentos confidenciales y es capaz de operar dentro de redes con espacios de aire.

Inicialmente encontramos una instancia de Ramsay en VirusTotal. Esa muestra se cargó desde Japón y nos llevó al descubrimiento de otros componentes y versiones del marco, junto con evidencia sustancial para concluir que este marco está en una etapa de desarrollo, con sus vectores de entrega aún en proceso de ajuste.

La visibilidad actual de los objetivos es baja; Según la telemetría de ESET, se han descubierto pocas víctimas hasta la fecha. Creemos que esta escasez de víctimas refuerza la hipótesis de que este marco se encuentra en un proceso de desarrollo continuo, aunque la baja visibilidad de las víctimas también podría deberse a la naturaleza de los sistemas específicos que se encuentran en redes con espacios de aire.

Se encontraron artefactos compartidos junto al Retro puerta trasera. Este malware ha sido asociado con Darkhotel, un conocido grupo de APT que se sabe que ha llevado a cabo operaciones de ciberespionaje desde al menos 2004, que se ha dirigido a entidades gubernamentales en China y Japón en el pasado.

Vectores de ataque

Junto con el descubrimiento de las diferentes instancias de Ramsay, descubrimos que fueron apalancados usando una serie de vectores de ataque. Estos son:

Figura 1. Descripción general de las versiones de Ramsay descubiertas

Documentos maliciosos que dejan caer la versión 1 de Ramsay

Este vector de ataque consiste en documentos maliciosos que explotan CVE-2017-0199 destinado a dejar caer una versión anterior de Ramsay.

Este documento entrega un script inicial de Visual Basic, que se muestra en la captura de pantalla a continuación como OfficeTemporary.sct, que extraerá dentro del cuerpo del documento el agente Ramsay, disfrazado como una imagen JPG al tener un PE codificado en base64 bajo un encabezado JPG.

CARNÉ DE IDENTIDAD Índice Objeto OLE
0 0 0x80c8 Format_id: 2 (incrustado)
Nombre de la clase: "Paquete"
Tamaño de datos: 8994
Objeto del paquete OLE:
Nombre de archivo: u‘OfficeTemporary.sct ’
Ruta de origen: u‘C: \ Intel \ OfficeTemporary.sct ’
Ruta temporal = u: "C \ Intel \ OfficeTemporary.sct"
MD5 = ‘cf133c06180f130c471c95b3a4ebd7a5’
ARCHIVO EJECUTABLE
1 0xc798 Format_id: 2 (incrustado)
Nombre de clase: "OLE2Link"
Tamaño de datos: 2560
MD5 = ‘daee337d42fba92badbea2a4e085f73f’
CLSID: 00000300-0000-0000-C000-000000000046
StdOleLink (objeto OLE incrustado – conocido relacionado con CVE-2017-0199, CVE-2017-8570, CVE-2017-8759 o CVE-2018-8174.
Posiblemente un exploit para la vulnerabilidad OLE2Link (VU # 921560, CVE-2017-0199)

Tabla 1. Diseño del objeto OLE contenido en el archivo RTF de Ramsay versión 1 como lo ven los oletools

Notamos que la instancia específica de Ramsay eliminada por estos documentos mostró una baja complejidad en su implementación y carecía de muchas de las características más avanzadas vistas aprovechadas por versiones posteriores de Ramsay.

Se encontraron varias instancias de estos mismos documentos maliciosos cargados en motores de sandbox públicos, etiquetados como artefactos de prueba como ‘Access_test.docx’O‘Test.docx"Denota un esfuerzo continuo para probar este vector de ataque específico.

Basado en la baja complejidad del agente Ramsay entregado, los actores de la amenaza pueden estar incorporando esta instancia específica dentro de estos documentos maliciosos para fines de evaluación.

El instalador de señuelos suelta la versión 2.a de Ramsay

Encontramos una instancia cargada en VirusTotal de Ramsay disfrazado de instalador 7zip.

La razón por la que llamamos a este malware Ramsay se debió a algunas de las cadenas contenidas en este binario, como las siguientes:

Figura 2. Cadenas que contienen "Ramsay"

Esta versión de Ramsay muestra un claro refinamiento de sus tácticas de evasión y persistencia junto con la introducción de nuevas características como un componente Spreader y un rootkit; El componente Spreader está documentado más a fondo en esta parte de la sección Capacidades.

Documentos maliciosos que caen Ramsay versión 2.b

Este vector de ataque consiste en la entrega de un documento malicioso diferente abusando CVE-2017-11882. Este documento colocará un instalador de Ramsay llamado lmsch.exe como se muestra en la Tabla 1.

CARNÉ DE IDENTIDAD Índice Objeto OLE
0 0 0x80c8 Format_id: 2 (incrustado)
Nombre de la clase: "Paquete"
Tamaño de datos: 644790
Objeto del paquete OLE:
Nombre de archivo: u‘lmsch.exe ’
Ruta de origen: u‘C: \ fakepath \ lmsch.exe ’
Ruta temporal = u: "C: \ fakepath \ lmsch.exe"
MD5 = ‘27cd5b330a93d891bdcbd08050a5a6e1’
1 0xc798 Format_id: 2 (incrustado)
Nombre de clase: "Ecuación.3"
Tamaño de datos: 3584
MD5 = ‘5ae434c951b106d63d79c98b1a95e99d’
CLSID: 0002CE02-0000-0000-C000-000000000046
Microsoft Equation 3.0 (conocido relacionado con CVE-2017-11882 o CVE-2018-0802)
Posiblemente un exploit para la vulnerabilidad del Editor de ecuaciones (VU # 421280, CVE-2017-11882)

Tabla 2. Diseño del objeto OLE contenido en el archivo RTF de Ramsay versión 2.b como lo ven los oletools

La versión de Ramsay apalancada por este documento es una versión ligeramente modificada de la versión 2.a de Ramsay, con la principal diferencia de no aprovechar el componente del esparcidor. La funcionalidad de los componentes restantes es la misma con respecto a la versión 2.a de Ramsay.

Ejecución del cliente de archivos infectados

Como se mencionó anteriormente, Ramsay Versión 2.a ofrece un componente Spreader que se comportará como un infector de archivos, cambiando la estructura de los archivos ejecutables PE benignos que se encuentran dentro de unidades extraíbles y compartidas en la red para incrustar artefactos Ramsay maliciosos desencadenados en la ejecución del archivo host.

El Spreader es altamente agresivo en su mecanismo de propagación y cualquier ejecutable de PE que resida en las unidades de destino serían candidatos para la infección.

Según las marcas de tiempo de compilación entre los componentes de las diversas versiones de Ramsay encontradas, podemos estimar la siguiente línea de tiempo de desarrollo de este marco:

Figura 3. Estimación del cronograma de desarrollo de Ramsay

El análisis de las diferentes marcas de tiempo de compilación encontradas en diferentes componentes implica que este marco ha estado en desarrollo desde finales de 2019, con la posibilidad de tener actualmente dos versiones mantenidas adaptadas en función de la configuración de diferentes objetivos.

Mecanismos de persistencia

Basado en su versión, Ramsay implementa varios mecanismos de persistencia de diferente complejidad. Algunos de estos mecanismos de persistencia son los siguientes:

El sistema operativo Windows proporciona la funcionalidad para permitir que las DLL personalizadas se carguen en el espacio de direcciones de casi todos los procesos de la aplicación a través de la clave de registro AppInit DLL. Esta técnica no es particularmente compleja; Se implementa en las primeras versiones de Ramsay y es común en otras familias de malware.

  • Tarea programada a través de la API COM

Las tareas programadas permiten a los administradores ejecutar tareas o "trabajos" en los momentos designados en lugar de cada vez que se inicia el sistema o el usuario inicia sesión. Esta característica se puede implementar a través de la API COM de Windows, que las primeras versiones de Ramsay han diseñado. Basado en la alta relación de similitud con CarberpImplementación, es muy probable que la implementación de Ramsay se haya adaptado del código fuente disponible públicamente de Carberp.

Las versiones más maduras de Ramsay denotan un aumento en la complejidad de sus técnicas de persistencia, que incluyen una técnica a veces denominada "Secuestro de Phantom DLL".

Phantom DLL Hijacking abusa del hecho de que muchas aplicaciones de Windows usan dependencias obsoletas que no son estrictamente necesarias para la funcionalidad de la aplicación en sí, lo que permite la posibilidad de aprovechar versiones maliciosas de estas dependencias.

Se dirigirán dos servicios para hacer cumplir esta técnica. Estos son:

  • Secuestro de WSearch (búsqueda de Windows) msfte.dll:

Figura 4. Secuestro del servicio de búsqueda de Microsoft msfte.dll

  • El servicio MSDTC (Coordinador de transacciones distribuidas de Microsoft) secuestra una dependencia de Oracle vista a continuación como oci.dll:

Figura 5. Secuestro de la dependencia del servicio MSDTC oci.dll

Esta técnica de persistencia es muy versátil, ya que permite que los agentes de Ramsay entregados como archivos DLL fragmenten su lógica en secciones separadas, implementando diferentes funcionalidades adaptadas a los procesos sujetos donde se cargará el agente. Además, el uso de esta técnica hace que la detección sea más difícil ya que la carga de estas DLL en sus respectivos procesos / servicios no necesariamente activará una alerta.

Capacidades

La arquitectura de Ramsay proporciona una serie de capacidades monitoreadas a través de un mecanismo de registro destinado a ayudar a los operadores al proporcionar una fuente de inteligencia accionable para llevar a cabo acciones de exfiltración, control y movimiento lateral, así como proporcionar estadísticas generales del comportamiento y del sistema de cada sistema comprometido. La realización de estas acciones es posible debido a las siguientes capacidades:

  • Recolección de archivos y almacenamiento encubierto.

El objetivo principal de este marco es recopilar todos los existentes Microsoft Word documentos dentro del sistema de archivos del objetivo. Las etapas generales de recolección se muestran en la Figura 6:

Figura 6. Mecanismo de recogida de documentos.

Los documentos de Word primero se recopilarán y almacenarán en un directorio de recopilación preliminar. La ubicación de este directorio puede variar según la versión de Ramsay. Dos de los directorios que observamos utilizados para este propósito fueron % APPDATA% Microsoft UserSetting y % APPDATA% Microsoft UserSetting MediaCache.

Dependiendo de la versión de Ramsay, la recopilación de archivos no se limitará a la unidad del sistema local, sino que también buscará unidades adicionales, como unidades de red o extraíbles:

Figura 7. Salida de procedimiento de rayos hexadecimales para escanear unidades extraíbles para su recolección

Figura 8. Salida de procedimiento de rayos hexadecimales para escanear unidades de red para su recolección

Los documentos recopilados se cifran con el algoritmo de cifrado de flujo RC4.

La clave RC4 utilizada para cifrar cada archivo será un hash MD5 calculado de una secuencia generada aleatoriamente de 16 bytes, con 16 bytes codificados en la muestra de malware. Los primeros 16 bytes del búfer donde se guardará el archivo cifrado corresponderán a la clave RC4 real utilizada:

Figura 9. Salida de rayos Hex de la generación y almacenamiento de claves RC4

Los archivos recopilados en el directorio de recopilación preliminar se comprimirán utilizando un WinRAR instancia que el instalador de Ramsay cae. Este archivo comprimido se guardará dentro del directorio de colección preliminar y luego generará un artefacto de contenedor Ramsay:

Figura 10. Salida de rayos hexadecimales de la generación de contenedores Ramsay

Como se muestra en la captura de pantalla anterior, estos contenedores Ramsay contienen un valor mágico al comienzo del archivo, junto con un Perfil de hardware GUID denotando un identificador de la máquina de la víctima; Se aplicará una capa de cifrado adicional basada en XOR al archivo comprimido generado. El siguiente diagrama muestra la estructura de estos artefactos:

Figura 11. Estructura del Contenedor Ramsay<{i>

Ramsay implementa una forma descentralizada de almacenar estos artefactos entre el sistema de archivos de la víctima mediante el uso de enganches en línea aplicados en dos funciones API de Windows, WriteFile y CloseHandle.

El enganchado WriteFile El objetivo principal del procedimiento es guardar el identificador de archivo del archivo de asunto para escribir e instalar otro enlace en el CloseHandle Función API los CloseHandle el procedimiento enganchado verificará si el nombre del archivo sujeto tiene un .Doc extensión; Si ese es el caso, se agregará al final del documento del asunto el artefacto del contenedor Ramsay seguido de una secuencia de 1024 bytes que indica un pie de página del documento de Microsoft Word.

Esto se realiza como una medida de evasión para proporcionar un medio para ocultar el artefacto incrustado dentro del documento sujeto a simple vista:

Figura 12. Salida de código de rayos hexadecimales para agregar el pie de página del documento de Word al final del documento de destino

Los contenedores Ramsay anexados a los documentos de Word se marcarán para evitar que se agreguen artefactos redundantes a los documentos ya afectados y el directorio de almacenamiento preliminar se borrará para generar un artefacto Ramsay nuevo a intervalos.

Aunque los documentos afectados serán modificados, no afectará su integridad; cada documento de Word afectado permanece completamente operativo después de que se haya agregado el artefacto.

La extracción de estos artefactos se realiza a través de un componente externo que no hemos podido recuperar. Sin embargo, con base en la metodología descentralizada que Ramsay implementa para el almacenamiento de artefactos recolectados, creemos que este componente escaneará el sistema de archivos de la víctima en busca de los valores mágicos del contenedor de Ramsay, para identificar la ubicación de los artefactos para filtrar.

A diferencia de la mayoría del malware convencional, Ramsay no tiene un protocolo de comunicación C&C basado en la red ni intenta conectarse a un host remoto con fines de comunicación. El protocolo de control de Ramsay sigue la misma filosofía descentralizada implementada para el almacenamiento de artefactos recopilados.

Ramsay escaneará todos los recursos compartidos de red y unidades extraíbles (Excluyendo UNA: y SI: unidades generalmente reservadas para disquetes) para posibles archivos de control. Primero, Ramsay busca documentos de Word y también, en versiones más recientes, archivos PDF y archivos ZIP:

Figura 13. Salida de rayos hexadecimales del procedimiento de exploración de Ramsay para la recuperación del archivo de control

Estos archivos se analizan por la presencia de un marcador mágico específico para el formato del archivo de control. Más específicamente, Ramsay busca cualquiera de los dos GUID de perfil de hardware codificados. Uno de estos GUID está codificado como se muestra en la Figura 14, mientras que el otro se genera dinámicamente en función de la máquina de la víctima comprometida. Si se encuentra alguno de los identificadores de sujeto, se intentará analizar una firma de comando.

Figura 14. Salida de rayos hexadecimales del análisis de archivos de control Ramsay

La búsqueda de estas dos instancias de GUID implica que los documentos de control de Ramsay pueden diseñarse deliberadamente para ser "agnósticos de víctimas", capaces de desplegar la misma instancia de documento de control en varias víctimas al aprovechar un GUID "global" dentro de los documentos de control. Por otro lado, los documentos de control pueden elaborarse incrustando un GUID específico destinado a ser entregado exclusivamente en la máquina de una sola víctima. Este indicador de la implementación del protocolo de control de Ramsay implica que su contraparte de fondo puede estar algo automatizada.

El protocolo de control de Ramsay admite tres comandos diferentes:

Firma Mando
Rr * e # R79m3QNU3Sy Ejecución de archivos
CNDkS_ y pgaU # 7Yg9 Carga de DLL
2DWcdSqcv3? (XYqT Ejecución por lotes

Tabla 3. Comandos de control de Ramsay

Después de recuperar una firma de comando determinada, el artefacto contenido a ejecutar se extraerá dentro del cuerpo del documento de control para luego ser restaurado, modificando el documento de control del sujeto a su forma original después de la ejecución del comando.

Entre los diferentes archivos lanzados por las últimas versiones de Ramsay encontramos un Esparcidor componente. Este ejecutable intentará buscar recursos compartidos de red y unidades extraíbles excluyendo UNA: y SI: unidades:

Figura 15. Salida de rayos hexadecimales de las rutinas de exploración del esparcidor

Es importante notar que existe una correlación entre las unidades de destino que Ramsay escanea para la propagación y la recuperación de documentos de control. Esto evalúa la relación entre las capacidades de difusión y control de Ramsay que muestran cómo los operadores de Ramsay aprovechan el marco para el movimiento lateral, denotando la probabilidad de que este marco haya sido diseñado para operar dentro de redes con espacios de aire.

La técnica de propagación consiste principalmente en la infección de archivos como un infector de archivos prepender para generar ejecutables de estructura similar a los instaladores de señuelos de Ramsay para cada archivo PE accesible dentro de las unidades de destino mencionadas anteriormente. El siguiente diagrama ilustra los cambios aplicados a los ejecutables específicos después de la infección y cómo estos componentes interactúan en la ejecución:

Figura 16. La estructura del archivo cambia durante una infección y ejecución

Todos los diferentes artefactos involucrados en la etapa de infección están dentro del contexto del esparcidor o han sido eliminados previamente por otro componente de Ramsay. Algunos de los artefactos se analizan para las siguientes fichas:

Figura 17. Salida de rayos hexadecimales de tokens para buscar diferentes artefactos dentro del contexto del spreader

Después de que un archivo determinado se haya infectado, se marcará escribiendo un token específico al final para proporcionarle al separador un identificador para evitar una infección redundante.

Además, algunos componentes de Ramsay han implementado un escáner de red destinado al descubrimiento de máquinas dentro de la subred del host comprometido que son susceptibles a EternoAzul Vulnerabilidad SMBv1. Esta información estará contenida en toda la información registrada que Ramsay recopila y puede ser aprovechada por los operadores para realizar un mayor movimiento lateral sobre la red en una etapa posterior a través de un canal diferente.

Más observaciones

Se descubrió que la versión 2.a del componente Spreader de Ramsay ha reutilizado una serie de tokens vistos anteriormente en Darkhotel Retro Puerta trasera. Estas fichas son las siguientes:

Figura 18. Salida de rayos hexadecimales de la reutilización de tokens con Retro

Figura 19. Reutilización de tokens en la creación de URL retro

Ramsay serializa a las víctimas usando el GetCurrentHwProfile API para luego recuperar un GUID para la máquina de la víctima específica. Esto también se ve implementado en Retro. Ambos usan el mismo GUID predeterminado en caso de que falle la llamada a la API:

Figura 20. Generación de GUID de Ramsay y Retro

Tanto Ramsay como Retro comparten el mismo algoritmo de codificación para codificar el GUID recuperado.

Figura 21. Esquema de codificación de GUID de Ramsay y Retro

El GUID recuperado por GetCurrentHwProfile es específico para el hardware del sistema pero no para el usuario o la instancia de PC. Por lo tanto, es probable que simplemente aprovechando este GUID, los operadores puedan encontrar duplicados destinados a serializar diferentes víctimas.

El propósito de este esquema es generar un GUID que es menos probable que sea propenso a duplicarse al "salarlo" con la dirección del adaptador Ethernet de la máquina. Esto implica que Retro y Ramsay comparten el mismo esquema para generar identificadores únicos.

También encontramos similitudes en la forma en que Ramsay y Retro guardaron algunos de sus archivos de registro, compartiendo una convención de nombre de archivo similar:

Figura 22. Parte de la convención de nombre de archivo Ramsay y Retro

Es importante resaltar que entre las técnicas documentadas de Retro, aprovecha las instancias maliciosas de msfte.dll, oci.dll y lame_enc.dll y a través de Phantom DLL Hijacking. Como se documentó anteriormente, Ramsay también usa esta técnica en algunas de sus versiones que también usan msfte.dll y oci.dll.

Además, también observamos similitudes entre Ramsay y Retro con respecto a las herramientas de código abierto utilizadas entre sus conjuntos de herramientas, como el apalancamiento UACMe para la escalada de privilegios y Mejorado ReflectiveDLLInjection para desplegar algunos de sus componentes.

Finalmente, notamos metadatos en coreano dentro de los documentos maliciosos apalancados por Ramsay, denotando el uso de plantillas basadas en coreano.

Figura 23. Metadatos de documentos maliciosos que muestran la palabra coreana "título"

Conclusión

Basado en las diferentes instancias del marco encontrado, Ramsay ha pasado por varias etapas de desarrollo, lo que denota una progresión creciente en el número y la complejidad de sus capacidades.

Los desarrolladores a cargo de los vectores de ataque parecen estar probando varios enfoques, como los viejos exploits para las vulnerabilidades de Word de 2017, así como también implementando aplicaciones troyanizadas.

Interpretamos esto como que los desarrolladores tienen una comprensión previa del entorno de las víctimas y están adaptando los vectores de ataque que se introducirían con éxito en los sistemas específicos sin la necesidad de desperdiciar recursos innecesarios.

Algunas etapas del marco de Ramsay todavía están bajo evaluación, lo que podría explicar la baja visibilidad actual de las víctimas, teniendo en cuenta que los objetivos previstos de Ramsay pueden estar bajo redes con espacios vacíos, lo que también afectaría la visibilidad de las víctimas.

Continuaremos monitoreando las nuevas actividades de Ramsay y publicaremos información relevante en nuestro blog. Para cualquier consulta, contáctenos como amenazaintel@eset.com. Los indicadores de compromiso también se pueden encontrar en nuestro GitHub repositorio.

Indicadores de compromiso (IoC)

SHA-1 Nombre de detección de ESET Comentarios
f79da0d8bb1267f9906fad1111bd929a41b18c03 Win32 / TrojanDropper.Agent.SHN Instalador inicial
62d2cc1f6eedba2f35a55beb96cd59a0a6c66880 Win32 / Ramsay.A Lanzador de instalador
baa20ce99089fc35179802a0cc1149f929bdf0fa Win32 / HackTool.UACMe.T Módulo de derivación UAC
5c482bb8623329d4764492ff78b4fbc673b2ef23 Win32 / HackTool.UACMe.T Módulo de derivación UAC
e7987627200d542bb30d6f2386997f668b8a928c Win32 / TrojanDropper.Agent.SHM Esparcidor
3bb205698e89955b4bd07a8a7de3fc75f1cb5cde Win32 / TrojanDropper.Agent.SHN Instalador de malware
bd8d0143ec75ef4c369f341c2786facbd9f73256 Win32 / HideProc.M HideDriver Rootkit
7d85b163d19942bb8d047793ff78ea728da19870 Win32 / HideProc.M HideDriver Rootkit
3849e01bff610d155a3153c897bb662f5527c04c Win64 / HackTool.Inject.A Darkhotel Retro Backdoor Loader
50eb291fc37fe05f9e55140b98b68d77bd61149e Win32 / Ramsay.B Instalador inicial de Ramsay (versión 2.b)
87ef7bf00fe6aa928c111c472e2472d2cb047eae Win32 / Exploit.CVE-2017-11882.H Archivo RTF que cae 50eb291fc37fe05f9e55140b98b68d77bd61149e
5a5738e2ec8af9f5400952be923e55a5780a8c55 Win32 / Ramsay.C Ramsay Agent DLL (32 bits)
19bf019fc0bf44828378f008332430a080871274 Win32 / Ramsay.C Agente Ramsay EXE (32 bits)
bd97b31998e9d673661ea5697fe436efe026cba1 Win32 / Ramsay.C Ramsay Agent DLL (32 bits)
eb69b45faf3be0135f44293bc95f06dad73bc562 Win32 / Ramsay.C Ramsay Agent DLL (32 bits)
f74d86b6e9bd105ab65f2af10d60c4074b8044c9 Win64 / Ramsay.C Ramsay Agent DLL (64 bits)
ae722a90098d1c95829480e056ef8fd4a98eedd7 Win64 / Ramsay.C Ramsay Agent DLL (64 bits)

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1091 Replicación a través de medios extraíbles El mecanismo de distribución de Ramsay se realiza mediante unidades extraíbles.
Ejecución T1106 Ejecución a través de API Los componentes integrados de Ramsay se ejecutan a través de CreateProcessA y ShellExecute .
T1129 Ejecución a través de carga de módulo El agente Ramsay se puede entregar como un archivo DLL.
T1203 Explotación para la ejecución del cliente Los vectores de ataque de Ramsay explotan CVE-2017-1188 o CVE-2017-0199.
T1035 Ejecución de servicio Los componentes de Ramsay se pueden ejecutar como dependencias de servicio.
T1204 Ejecución de usuario El componente Ramsay Spreader infecta archivos dentro del sistema de archivos.
Persistencia T1103 AppInit DLLs Ramsay puede usar esta clave de registro para la persistencia.
T1050 Nuevo servicio Los componentes de Ramsay se pueden ejecutar como dependencias de servicio.
T1053 Tarea programada Ramsay establece una tarea programada para persistir después del reinicio.
Escalada de privilegios T1088 Omitir control de cuenta de usuario Ramsay descarta las instancias UACMe para la escalada de privilegios.
Evasión de defensa T1038 Secuestro de pedidos de DLL Los agentes de Ramsay se disfrazarán como dependencias de servicio que aprovechan el secuestro de Phantom DLL.
T1107 Eliminación de archivos El instalador de Ramsay se elimina después de la ejecución.
T1055 Inyección de proceso El agente de Ramsay se inyecta en varios procesos.
T1045 Embalaje de software El instalador de Ramsay puede estar empaquetado con UPX.
Descubrimiento T1083 Descubrimiento de archivos y directorios El agente Ramsay busca archivos y directorios en la unidad del sistema.
T1135 Descubrimiento de redes compartidas El agente Ramsay busca recursos compartidos de red disponibles.
T1057 Descubrimiento de procesos Ramsay intentará determinar si el host ya está comprometido al verificar la existencia de procesos específicos.
Movimiento lateral T1210 Explotación de servicios remotos El escáner de red Ramsay puede escanear la subred del host para encontrar objetivos vulnerables a EternalBlue.
T1105 Copia remota de archivos Ramsay intenta infectar archivos en recursos compartidos de red.
T1091 Replicación a través de medios extraíbles Ramsay intenta infectar archivos en unidades extraíbles.
Colección T1119 Colección automatizada El agente Ramsay recopila archivos en intervalos.
T1005 Datos del sistema local El agente Ramsay escanea archivos en la unidad del sistema.
T1039 Datos de la unidad compartida de red El agente Ramsay escanea archivos en recursos compartidos de red.
T1025 Datos de medios extraíbles El agente Ramsay escanea archivos en unidades extraíbles.
T1113 La captura de pantalla El agente Ramsay puede generar y recopilar capturas de pantalla.
Comando y control T1092 Comunicación a través de medios extraíbles El agente Ramsay busca archivos de control para su protocolo de comunicación basado en archivos en unidades extraíbles.
T1094 Comando personalizado y protocolo de control Ramsay implementa un protocolo C&C personalizado basado en archivos.
Exfiltración T1002 Datos comprimidos El agente Ramsay comprime su directorio de colección.








Enlace a la noticia original