Por Mid 
Velociraptor: una herramienta forense legítima, utilizada por atacantes para obtener acceso remoto persistente
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Media
Conclusiones clave
- Incremento en el uso indebido de Velociraptor por actores maliciosos.
- Acceso remoto persistente sin alertas evidentes para los usuarios.
- Eludió defensas basadas en firmas, al presentarse como una herramienta legítima.
- Posibilidad de recolección de credenciales y escalado de privilegios.
- Importancia de gestionar adecuadamente las herramientas defensivas dentro de la infraestructura.
Índice
Impacto
Investigaciones recientes han revelado un incremento alarmante en el uso indebido del framework Velociraptor, una herramienta de código abierto destinada a la forense digital y la investigación de incidentes. Originalmente creada para facilitar la respuesta a amenazas y el análisis de incidentes, ahora se ha convertido en una plataforma preferida por actores maliciosos para mantener el control remoto sobre sistemas comprometidos tanto en Windows como en Linux.
Los atacantes implementan Velociraptor de manera encubierta utilizando el comando msiexec, logrando que el software sea instalado en equipos infectados bajo la apariencia de una herramienta administrativa legítima. Posteriormente, una vez que la instalación se ha completado, estos actores descargan y ejecutan Visual Studio Code junto con una extensión de túnel, lo que permite establecer conexiones hacia un servidor de mando y control (C2) funcionando dentro de una infraestructura basada en Cloudflare Workers.
Debido a que Velociraptor es un software reconocido y legítimo, muchas aplicaciones de seguridad tienden a no identificarlo como una amenaza, lo cual brinda a los atacantes la oportunidad de actuar sin generar sospechas.
Recomendaciones
- Realizar un inventario y validar las herramientas forenses autorizadas que se encuentran en los endpoints.
- Establecer alertas y llevar a cabo investigaciones en caso de uso inesperado de software como Velociraptor.
- Limitar la capacidad de instalación de software únicamente a personal autorizado.
- Efectuar auditorías periódicas en estaciones y servidores para identificar agentes no autorizados.
- Incorporar inteligencia de amenazas activa que considere el uso indebido de herramientas legítimas como vectores avanzados.
Conclusión
Es fundamental reconocer que incluso las herramientas defensivas pueden ser explotadas como accesos encubiertos si su uso no se gestiona adecuadamente dentro de la infraestructura.