Velociraptor, herramienta forense legítima, es reutilizada por atacantes para obtener acceso remoto persistente

Recientes investigaciones han detectado un creciente abuso del framework Velociraptor —una herramienta Open Source de forense digital e investigación de incidentes— como una plataforma de post-explotación en Windows y Linux. Aunque diseñada para ayudar a responder y analizar amenazas, Velociraptor ahora está siendo desplegada por actores maliciosos como un mecanismo sigiloso de control remoto.

• Instalación encubierta: los atacantes utilizan msiexec para desplegar Velociraptor en sistemas comprometidos, haciéndolo pasar por una herramienta administrativa legítima.
• Túnel encubierto con Visual Studio Code: tras instalar Velociraptor, descargan y ejecutan Visual Studio Code con una extensión de túnel, estableciendo conexiones a un servidor de mando y control (C2) alojado en una infraestructura basada en Cloudflare Workers.
• Uso legítimo de herramientas monocromáticas: al tratarse de software válido, muchas aplicaciones de seguridad no lo detectan como malicioso, permitiendo al atacante operar sin levantar sospechas.

Impacto

1. Acceso remoto persistente sin señal de alerta.
2. Recolección silenciosa de credenciales, configuraciones y logs.
3. Capacidad de escalada y apoyo en incidentes de ransomware.
4. Evasión de defensas basadas en firmas, al camuflarse como herramienta legítima.

Recomendaciones

• Inventariar y validar las herramientas forenses realmente autorizadas en los endpoints.
• Alertar e investigar el uso inesperado de software como Velociraptor.
• Restringir la capacidad de instalación de software a personal autorizado.
• Realizar auditorías periódicas en estaciones y servidores para detectar agentes no previstos.
• Incorporar inteligencia de amenazas activa que considere el abuso de herramientas legítimas como vectores avanzados.

Incluso las herramientas defensivas pueden convertirse en accesos clandestinos si no se controla adecuadamente su uso dentro de la infraestructura.

Más información

• Sophos CTU – Velociraptor incident response tool abused for remote access
• IT Pro News – Cybercriminals weaponize Velociraptor DFIR tool for remote access
• The Hacker News – Attackers Abuse Velociraptor Forensic Tool for Post-Exploitation on Windows and Linux
  

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog