Este writeup es con fines educativos y de práctica profesional. Las respuestas mostradas corresponden al laboratorio público de CyberDefenders. Los hashes, dominios e IPs pertenecen al escenario controlado del reto, no a infraestructura real en producción.
0x00 Introducción
Cuarto post de la serie de laboratorios de CyberDefenders.
En este nos enfrentamos a Yellow RAT, un laboratorio de Threat Intelligence donde investigamos un incidente real en una empresa ficticia, GlobalTech Industries, que detectó tráfico de red anómalo y redirecciones sospechosas en las búsquedas de sus empleados.
El análisis nos lleva a identificar un Remote Access Trojan (RAT) basado en .NET que opera en memoria, establece comunicación con servidores C2, descarga cargas útiles secundarias y mantiene persistencia en los sistemas infectados.
Utilizaremos VirusTotal como herramienta principal para analizar hashes, clasificar la amenaza, extraer IOCs y mapear el comportamiento del malware a lo largo de su ciclo de vida.
0x01 El Escenario
| Elemento | Detalle |
|---|---|
| Familia de malware | Yellow Cockatoo (.NET RAT) |
| Síntomas detectados | Tráfico de red anormal, redirecciones de búsquedas a sitios desconocidos |
| Evidencia | Artefactos de malware, hashes sospechosos |
| Herramienta | VirusTotal |
| Misión | Clasificar la amenaza, extraer IOCs, identificar C2 y componentes persistentes |
0x02 Análisis
Q1
Conocer al adversario es fundamental para defenderse. ¿Cómo se llama la familia de malware que provoca el tráfico de red anormal?
Lo primero que hice fue tirar del hash en VirusTotal. La muestra es un DLL que levanta muchísimas flags: comportamiento de RAT, inyección en memoria, comunicación C2. Clásico .NET RAT.
El análisis profundo de la muestra reveló su asociación con la familia Yellow Cockatoo.
Se trata de un RAT basado en .NET diseñado para ejecutar comandos directamente en memoria, evitando los mecanismos de detección basados en disco.
Sus capacidades principales incluyen:
- Establecer conexiones con servidores C2
- Descargar cargas útiles secundarias
- Ejecutar comandos en bucle para mantener persistencia
- Recopilar información del host (SO, configuración de red, credenciales almacenadas)
La validación se realiza verificando los hashes SHA256/MD5 contra bases de datos como VirusTotal.
El comportamiento de la muestra, junto con su firma hash, coincidió con los patrones conocidos de Yellow Cockatoo, confirmando su participación en el incidente.
Respuesta: YellowCockatoo
Q2
Conocer los nombres de archivo que utiliza el malware permite escanear otras estaciones de trabajo en busca de infecciones. ¿Cuál es el nombre de archivo común asociado con el malware?
Toca ver qué nombre de archivo usa este bicho. Si lo separamos, lo metemos como IOC en el EDR y barremos toda la red. VirusTotal ya nos lo da en la pestaña de detecciones.
El archivo ha sido marcado como malicioso por 59 de 72 proveedores de seguridad, lo que confirma sin ambigüedad su naturaleza maliciosa.
Las etiquetas de los distintos motores antivirus lo clasifican como trojan.msil/polazert y Win32:MalwareX-gen, lo que indica que funciona como dropper o loader capaz de descargar y ejecutar cargas útiles adicionales en el sistema infectado.
Este nombre de archivo, junto con su hash SHA256, se convierte en un IOC que los equipos de seguridad pueden utilizar con herramientas EDR para hacer búsquedas a lo largo de la red, o para bloquear directamente el hash en las soluciones de seguridad del entorno.
Respuesta: 111bc461-1ca8-43c6-97ed-911e0e69fdf8.dll
Q3
La marca de tiempo de compilación revela información sobre el cronograma de desarrollo e implementación del malware. ¿Cuál es la marca de tiempo de compilación?
El timestamp de compilación es uno de esos datos que parece menor pero te cuenta bastante. Lo miro en las propiedades del archivo en VirusTotal para ver cuándo se compiló el payload.
Las propiedades del archivo revelan que fue compilado el 2020-09-24 a las 18:26:47 UTC.
Por otro lado, la marca de tiempo “First Seen In The Wild” registra la fecha 2021-04-12 10:51:04 UTC, lo que revela una brecha de aproximadamente 7 meses entre la compilación y el primer uso detectado en ataques reales. Esto puede indicar tiempo dedicado a pruebas, refinamiento o distribución controlada antes del despliegue a gran escala.
Respuesta: 2020-09-24 18:26:47 UTC
Q4
Saber cuándo la comunidad de ciberseguridad identificó por primera vez el malware ayuda a determinar cuánto tiempo pudo estar en el entorno antes de su detección. ¿Cuándo se envió el malware por primera vez a VirusTotal?
Otro timestamp clave: cuándo llegó por primera vez a VirusTotal. Con esto y el de compilación ya puedo empezar a montar el timeline del incidente y estimar el dwell time.
El malware fue enviado por primera vez a VirusTotal el 2020-10-15 a las 02:47:37 UTC, apenas 21 días después de su compilación.
Esta proximidad temporal sugiere que el malware fue detectado relativamente pronto tras su distribución inicial, proporcionando un punto de partida para correlacionar con registros y eventos de red de esa fecha.
Respuesta: 2020-10-15 02:47:37 UTC
Q5
Para erradicar completamente la amenaza, necesitamos identificar todos los componentes que deja el malware en disco. ¿Cuál es el nombre del archivo .dat que el malware coloca en la carpeta AppData?
AppData\Roaming: el escondite favorito de todo malware que se precie. Si no revisamos qué deja en disco, la reinfección está garantizada. Voy a por el archivo .dat.
La investigación revela que el malware deposita un archivo llamado solarmarker.dat en el directorio %USERPROFILE%\AppData\Roaming.
Este archivo puede almacenar datos de configuración, registrar actividad o servir como mecanismo de persistencia.
Al estar en la carpeta Roaming, tiene el potencial de replicarse entre múltiples perfiles de usuario en un mismo sistema, complicando la limpieza.
Los equipos de seguridad deben escanear esta ruta específica en todos los endpoints, verificar si hay procesos o servicios que referencien este archivo y eliminar cualquier entrada de registro o tarea programada asociada para garantizar la erradicación completa.
Respuesta: solarmarker.dat
Q6
Es fundamental identificar los servidores C2 para bloquear la comunicación y evitar una mayor exfiltración de datos. ¿Cuál es el servidor C2 con el que se comunica el malware?
Sin C2 el RAT no es nada. Corto esa comunicación y el atacante pierde el control de las máquinas. Voy a las comunicaciones del malware para ver con quién habla.
El análisis del malware Yellow Cockatoo revela que uno de los dominios con los que se comunica es gogohid.com.
Este dominio actúa como servidor C2, facilitando la comunicación entre los hosts infectados y la infraestructura del atacante.
Además, la investigación apunta a la subred 45.146.165.X como parte de la infraestructura C2.
Los equipos de seguridad deben implementar reglas de firewall e IPS para bloquear conexiones a estos endpoints de forma inmediata.
Respuesta: gogohid.com
0x03 Resumen del Ataque
| Fase | Acción | IOC |
|---|---|---|
| Delivery | DLL maliciosa desplegada en estaciones de trabajo | 111bc461-…fdf8.dll |
| Ejecución | RAT .NET ejecuta comandos en memoria | Yellow Cockatoo |
| Persistencia | Archivo .dat en AppData\Roaming | solarmarker.dat |
| C2 | Comunicación con infraestructura del atacante | gogohid.com / 45.146.165.X |
| Timeline | Compilación → Submission → First Seen ITW | 2020-09 → 2020-10 → 2021-04 |
0x04 Lecciones Aprendidas
NOTA: Insights clave extraídos del análisis de Threat Intelligence del laboratorio
- Ejecución en memoria como evasión
Yellow Cockatoo ejecuta comandos directamente en memoria, evitando la detección basada en disco.
Las soluciones EDR con capacidad de inspección de memoria y detección de comportamiento son esenciales para detectar este tipo de amenazas.
- Cronología como inteligencia
La brecha de 7 meses entre compilación (2020-09) y primera detección en la naturaleza (2021-04) demuestra la importancia de correlacionar múltiples timestamps para reconstruir el ciclo de vida del malware y estimar el dwell time.
- AppData como refugio
La carpeta AppData\Roaming sigue siendo un directorio favorito de los atacantes.
Las políticas de monitorización deben incluir alertas sobre la creación de archivos .dat sospechosos en estas rutas.
- Bloqueo de IOCs en tiempo real
El dominio C2 (gogohid.com) y la subred 45.146.165.X deben alimentar inmediatamente los sistemas de firewall, proxy y DNS sinkhole de la organización para contener la amenaza.
- VirusTotal como arma defensiva
Este laboratorio demuestra que una plataforma de inteligencia como VirusTotal, bien utilizada, permite clasificar la amenaza, extraer IOCs, reconstruir el timeline y generar reglas de detección sin necesidad de ejecutar el malware en un entorno propio.
Un RAT que ejecuta en memoria, persiste en AppData y se comunica con dominios dinámicos es un perfil de amenaza que se repite constantemente en incidentes reales. Saber identificarlo rápidamente marca la diferencia entre contención temprana y compromiso total.
[EOF] “The RAT hides in memory, but the IOCs live forever”