GETOVERX FORUM Community Support   ›   Malware Docs   ›   Fileless Malware   ›   FILELESS – Poweliks

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
FILELESS – Poweliks
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:42 PM (This post was last modified: 12-07-2025, 04:56 PM by mrwebfeeder.)
Nombre: Poweliks


Categoría: Fileless / Malware en memoria
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: Alrededor de 2014

Comportamiento (lo que hace y archivos que infecta):
- Ejemplo clásico de malware fileless en Windows:
- Evita dejar un ejecutable persistente en disco.
- Guarda su lógica en el Registro de Windows y abusa de componentes internos como WMI y PowerShell para ejecutarse.
- Método: WMI + PowerShell
- Utiliza consultas/consumidores de eventos WMI y comandos de PowerShell para cargar y ejecutar el payload en memoria.
- A menudo el código está ofuscado o codificado (por ejemplo, en Base64) dentro de valores del Registro.
- Comportamiento típico:
- Persistencia en registro + WMI:
- Inserta código o comandos en claves del Registro que se ejecutan mediante WMI o procesos legítimos.
- Usa eventos WMI (por ejemplo, eventos de inicio de sesión o arranque) como triggers.
- Minería y clics fraudulentos:
- Puede usar recursos de CPU para minería de criptomonedas.
- Genera tráfico web y clics falsos (click-fraud) para monetizar publicidad.
- En algunas campañas, actúa también como loader:
- Descarga y ejecuta otros componentes maliciosos adicionales.
- “Archivos que infecta”:
- No infecta ejecutables tradicionales; su foco es:
- El Registro, WMI y la ejecución en memoria.
- Crear scripts/droppers iniciales que instalan la lógica fileless y luego pueden eliminarse.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Persistencia en Registro:
- Inserta datos/código en claves de usuario o sistema, por ejemplo:
- Claves Run/RunOnce.
- Claves de configuración donde almacena cadenas ofuscadas que luego son interpretadas por PowerShell.
- Persistencia vía WMI:
- Crea event filters y event consumers WMI que:
- Se activan en eventos como el arranque del sistema o el inicio de sesión.
- Ejecutan comandos de PowerShell o scripts que reconstruyen el payload desde el Registro.
- Ejecución fileless:
- Abusa de binarios legítimos como:
-
Code:
powershell.exe
-
Code:
wscript.exe
- Ejecuta código en memoria sin escribir un binario persistente en disco.
- La combinación Registro + WMI + PowerShell hace que:
- La detección basada solo en archivos sea poco eficaz.
- Sea imprescindible revisar Registro, WMI y logs de scripting.

Hash real de referencia (SHA-256) – Dropper:
- Añade un hash SHA-256 real de una muestra pública conocida del malware (normalmente del dropper inicial).
- Ejemplo de formato:
Code:
SHA256: 91b8ce38ab8344f564717d8ec91f63ad5acc2c539815f05b06e009f1391d7f6e

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - El foco principal estará en el dropper y scripts iniciales:
    - Ejecutar un escaneo completo para localizar:
    - Ejecutables, documentos con macros o scripts que instalen Poweliks.
    - Mantener firmas y reglas YARA adaptadas a:
    - Cadenas de comandos PowerShell ofuscados.
    - Patrones típicos de instalación de Poweliks.
    - Poner en cuarentena:
    - El dropper identificado por el hash de referencia.
    - Cualquier otro archivo que reproduzca la misma cadena de infección (macros, scripts, ejecutables pequeños).
    - Complementar con:
    - Escaneos on-demand tras incidentes de scripting sospechoso (PowerShell/WMI).

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Limitar tráfico saliente de:
    -
    Code:
    powershell.exe
    ,
    Code:
    wscript.exe
    y otros intérpretes hacia Internet.
    - Bloquear:
    - Dominios e IPs relacionados con campañas de minería/click-fraud o C2 asociados a Poweliks (según IOC disponibles).
    - Tráfico HTTP/HTTPS que simule navegación generada sin intervención del usuario (muchas peticiones automatizadas desde procesos de scripting).
    - Aislar temporalmente el host si:
    - Se detecta tráfico masivo de publicidad/click-fraud o uso intensivo de CPU asociado a procesos iniciados por scripts de Poweliks.

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - En Poweliks, centrarse en:
    - Persistencia en registro + WMI:
    - Detectar creación/modificación de:
    - Event consumers y event filters WMI que ejecutan scripts/PowerShell.
    - Claves de Registro que almacenan cadenas de comandos largas, ofuscadas o codificadas.
    - Uso anómalo de PowerShell:
    - Comandos con:
    -
    Code:
    -ExecutionPolicy Bypass
    ,
    Code:
    -EncodedCommand
    o similares.
    - Extracción de código desde el Registro (reg query + ejecución).
    - Ejecución fileless:
    - Procesos legítimos que cargan y ejecutan bloques de código en memoria sin archivos en disco.
    - Respuesta automática recomendada:
    - Bloquear ejecución de PowerShell en contexto de usuario estándar, salvo listas blancas.
    - Matar procesos de scripting que:
    - Ejecuten comandos ofuscados.
    - Estén ligados a eventos WMI sospechosos.
    - Registrar:
    - Claves de Registro, objetos WMI y comandos implicados, para limpieza y análisis forense.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Enviar a Sandbox:
    - Adjuntos de correo, documentos o ejecutables que se sospeche actúen como dropper de Poweliks.
    - Observar si:
    - El archivo crea/modifica claves de Registro con blobs de código.
    - Registra event consumers/filters WMI.
    - Lanza PowerShell con parámetros sospechosos y ejecuta código en memoria.
    - Si se confirma patrón fileless:
    - Bloquear uso de ese archivo dentro de la organización.
    - Generar indicadores internos (hashes, nombres de claves, namespaces WMI afectados).

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Específicamente para Poweliks:
    - Realizar una limpieza profunda de Registro y WMI:
    - Eliminar event consumers y filtros sospechosos.
    - Borrar claves con comandos ofuscados asociados al malware.
    - Documentar:
    - Claves, rutas y objetos WMI comprometidos como IOC internos.
    - Endurecer permanentemente:
    - Políticas de PowerShell (Constrained Language, bloqueo en usuario estándar).
    - Auditoría de cambios en WMI y Registro ligados a mecanismos de arranque.

Notas opcionales:
- Poweliks es uno de los casos más citados de malware fileless, útil como ejemplo en la biblioteca para ilustrar la importancia de monitorizar Registro, WMI y scripting, no sólo archivos en disco.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)