GETOVERX FORUM Community Support
APT – Volt Typhoon (2023) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Gusanos (Worms) (https://forum.getoverx.com/forumdisplay.php?fid=14)
+--- Thread: APT – Volt Typhoon (2023) (/showthread.php?tid=76)

APT – Volt Typhoon (2023) - mrwebfeeder - 11-29-2025

Nombre: Living-off-the-land (LOL) – Abuso de cmd.exe / nltest / ipconfig

Categoría: Intrusión fileless / Living-off-the-land (LOLBins)

Fecha de observación: Casos documentados desde ~2016 (tendencia continua)

Descripción general:
Ataques “living-off-the-land” (LOL) basados en el abuso de herramientas nativas de Windows (LOLBins), donde el atacante evita usar binarios de malware clásicos y, en su lugar, realiza reconocimiento, movimiento lateral y persistencia usando únicamente comandos y utilidades ya presentes en el sistema (por ejemplo, cmd.exe, nltest, ipconfig). Estos ataques son difíciles de detectar con firmas tradicionales, ya que no se introduce un archivo malicioso evidente.

Comportamiento (lo que hace y técnicas usadas):
- Living-off-the-land; no malware files: el atacante no instala binarios adicionales o malware tradicional, sino que se apoya casi exclusivamente en herramientas integradas de Windows.
- Uso excesivo o anómalo de:
- cmd.exe: ejecución de múltiples comandos de reconocimiento, scripts por lotes, descarga/ejecución indirecta de payloads, etc.
- nltest: descubrimiento de dominios, controladores de dominio y relaciones de confianza en Active Directory.
- ipconfig: recopilación de información de red (interfaces, IPs, DNS) para preparar movimiento lateral.
- Posible uso combinado con otras utilidades nativas (p.ej. powershell.exe, net.exe, wmic, schtasks) para ejecutar comandos remotos, crear tareas programadas o modificar políticas.

Persistencia:
- Aunque este patrón se centra en la fase de reconocimiento, suele ir acompañado de:
- Creación de tareas programadas (schtasks) para ejecutar comandos o scripts de forma recurrente.
- Modificación de claves de registro Run/RunOnce para lanzar scripts nativos, PowerShell o comandos en cada inicio.
- Uso de servicios legítimos o scripts empresariales para camuflar la persistencia.
- En algunos casos, el atacante evita la persistencia tradicional y reaparece mediante accesos RDP/VPN comprometiendo credenciales, manteniendo así un perfil aún más fileless.

Indicadores tempranos (IOCs de comportamiento):
- Excessive use of
Code:
cmd.exe
,
Code:
nltest
,
Code:
ipconfig
, especialmente:
- Desde cuentas de usuario que típicamente no ejecutan herramientas administrativas.
- En horarios inusuales o desde equipos no orientados a administración.
- Secuencias de comandos que combinan:
- Enumeración de dominio con
Code:
nltest
.
- Enumeración de red y configuración con
Code:
ipconfig
.
- Encadenamiento de múltiples comandos en
Code:
cmd.exe
para reconocimiento o descarga/ejecución indirecta.
- Eventos de autenticación y uso de herramientas administrativas fuera de los patrones normales de operación del equipo.

Hash real de referencia (SHA-256):
- No aplica: patrón de ataque fileless basado en herramientas nativas; no hay un binario único que sirva como “muestra” clásica de malware.

Mitigación con GetOverX Shield:
  • HIPS / EDR – Detección de abuso de herramientas nativas:
    - EDR monitor indigenous Windows tool misuse:
    - Configurar el módulo EDR para monitorizar el uso de cmd.exe, nltest, ipconfig y otras LOLBins críticas (powershell.exe, wmic, net, etc.).
    - Crear reglas que disparen alertas si:
    - Se ejecutan con mucha más frecuencia de lo normal.
    - Son lanzadas por usuarios no administrativos.
    - Se combinan en cadenas de comandos típicas de reconocimiento interno.
    - Kill unauthorized recon commands:
    - Definir políticas que bloqueen o maten procesos cuando se detecten combinaciones de comandos de “recon” no autorizadas (p.ej. cmd.exe + nltest /dclist, ipconfig /all desde cuentas estándar).
    - Registrar y etiquetar estos eventos como posibles intentos de intrusión interna.

  • Firewall y aislamiento de red:
    - Network isolation when anomalies detected:
    - Ante detección de patrones living-off-the-land, aislar el equipo afectado en una VLAN de cuarentena o aplicar reglas restrictivas de firewall local con GetOverX Shield.
    - Bloquear conexiones salientes a segmentos internos sensibles y a Internet hasta completar la investigación.
    - Registrar todos los intentos de conexión desde el host sospechoso para identificar posibles C2 o movimientos laterales.

  • Antivirus (complemento, aunque no haya archivo malicioso):
    - Ejecutar escaneos completos para descartar que haya binarios o scripts adicionales que complementen la actividad fileless.
    - Verificar integridad de archivos críticos del sistema y de herramientas administrativas (para descartar modificaciones en disco).

  • Sandbox / SandboxLite:
    - Cuando sea posible, reproducir en Sandbox los comandos y scripts sospechosos (por ejemplo, scripts .bat o .ps1 asociados a la intrusión).
    - Observar:
    - Qué consultas hacen a dominio y red.
    - Si intentan conectarse a IPs o dominios externos.
    - Si crean nuevos mecanismos de persistencia.

  • Logs unificados y respuesta a incidentes:
    - Centralizar en los logs unificados de GetOverX Shield:
    - Eventos de procesos (cmd.exe, nltest, ipconfig, powershell, etc.).
    - Cambios en tareas programadas y claves de registro Run/RunOnce.
    - Eventos de firewall y autenticación de red.
    - Correlacionar estos registros para reconstruir la línea de tiempo del ataque y determinar el alcance real.
    - Rotar credenciales potencialmente expuestas y revisar accesos a servidores, controladores de dominio y recursos críticos.

Notas opcionales:
- Este patrón no describe un malware concreto, sino una técnica de ataque. Es habitual en campañas avanzadas (APT) y en intrusiones dirigidas, donde el objetivo es permanecer oculto el mayor tiempo posible utilizando sólo lo que ya existe en el sistema operativo.