11-29-2025, 04:27 PM
(This post was last modified: 12-13-2025, 04:07 PM by mrwebfeeder.)
Nombre:
ProxyShellMiner
Categoría:
Cryptominer (Monero/XMR) / Loader (post-explotación en servidores)
Fecha de descubrimiento:
Febrero 2023 (campaña observada públicamente)
Comportamiento (lo que hace y archivos que infecta):
- ProxyShellMiner es una campaña/malware orientado a comprometer Microsoft Exchange on-prem explotando la cadena conocida como ProxyShell para obtener ejecución remota.
- Vía de entrada:
- Explotación de vulnerabilidades ProxyShell en servidores Exchange expuestos o sin parches (típicamente sobre HTTPS/443).
- Acciones posteriores:
- Uso de PowerShell (frecuentemente ofuscado) para descargar y ejecutar componentes adicionales (scripts/binaries).
- Instalación/ejecución de mineros de criptomonedas (Monero/XMR) y, en algunos casos, componentes de “backdoor” o webshell para mantener acceso.
- Consumo anómalo y sostenido de CPU/RAM en el servidor comprometido.
- Puede dejar artefactos en rutas temporales o de sistema (scripts, EXE/DLL) y crear tareas/procesos para relanzar el minero si se detiene.
Persistencia:
- Persistencia típica observada en campañas de cryptomining post-explotación:
- Tareas programadas para ejecución recurrente o al inicio.
- Claves Run/RunOnce (cuando aplica) para relanzar loaders.
- Servicios o “watchdogs” simples que monitorean y reinician el minero.
- En escenarios Exchange, es común el uso de webshells (ASPX) o archivos “drop” para retomar control si se pierde la sesión.
- En algunas intrusiones se ha reportado abuso de recursos compartidos internos (por ejemplo, rutas accesibles por la organización) para facilitar ejecución repetida.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- ProxyShellMiner suele encajar en intrusiones “rápidas” orientadas a monetización (minado), pero la explotación de Exchange también puede habilitar cargas más severas si el atacante decide pivotar o desplegar otros payloads.
ProxyShellMiner
Categoría:
Cryptominer (Monero/XMR) / Loader (post-explotación en servidores)
Fecha de descubrimiento:
Febrero 2023 (campaña observada públicamente)
Comportamiento (lo que hace y archivos que infecta):
- ProxyShellMiner es una campaña/malware orientado a comprometer Microsoft Exchange on-prem explotando la cadena conocida como ProxyShell para obtener ejecución remota.
- Vía de entrada:
- Explotación de vulnerabilidades ProxyShell en servidores Exchange expuestos o sin parches (típicamente sobre HTTPS/443).
- Acciones posteriores:
- Uso de PowerShell (frecuentemente ofuscado) para descargar y ejecutar componentes adicionales (scripts/binaries).
- Instalación/ejecución de mineros de criptomonedas (Monero/XMR) y, en algunos casos, componentes de “backdoor” o webshell para mantener acceso.
- Consumo anómalo y sostenido de CPU/RAM en el servidor comprometido.
- Puede dejar artefactos en rutas temporales o de sistema (scripts, EXE/DLL) y crear tareas/procesos para relanzar el minero si se detiene.
Persistencia:
- Persistencia típica observada en campañas de cryptomining post-explotación:
- Tareas programadas para ejecución recurrente o al inicio.
- Claves Run/RunOnce (cuando aplica) para relanzar loaders.
- Servicios o “watchdogs” simples que monitorean y reinician el minero.
- En escenarios Exchange, es común el uso de webshells (ASPX) o archivos “drop” para retomar control si se pierde la sesión.
- En algunas intrusiones se ha reportado abuso de recursos compartidos internos (por ejemplo, rutas accesibles por la organización) para facilitar ejecución repetida.
Hash real de referencia (SHA-256):
Code:
91d2bf94a96f1b02014fbf57c6c2f01d4fbf7a9620f8daebbc846a7f99fc3f16Mitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan del servidor para identificar:
- Payloads de minado (binaries tipo miner) y scripts descargados.
- Herramientas auxiliares (droppers, loaders) dejadas en rutas temporales o de sistema.
- Poner en cuarentena el ejecutable principal y cualquier “watchdog”/relanzador asociado.
- Repetir el escaneo tras limpieza para confirmar que no reaparecen artefactos (señal de persistencia activa).
- Firewall:
- Restringir acceso a Exchange únicamente a orígenes autorizados (IP/VPN/segmentos definidos) y bloquear intentos no autorizados al frontend web.
- Bloquear egress sospechoso:
- Conexiones salientes no justificadas desde el servidor Exchange hacia Internet.
- Tráfico a destinos no autorizados (muy útil para cortar comunicación con infraestructura de minado/C2).
- Si se confirma compromiso, aislar el host temporalmente mientras se erradica la persistencia.
- HIPS/EDR:
- Activar detecciones de comportamiento centradas en Exchange:
- CPU anómalo sostenido (picos prolongados) en procesos no esperados.
- PowerShell con indicios de descarga/ejecución remota (IEX/EncodedCommand/ofuscación), y cadenas: IIS/Exchange → cmd.exe → powershell.exe.
- Creación de tareas programadas o servicios nuevos sin cambio aprobado.
- Escritura de archivos inusuales en rutas web de Exchange/IIS (posibles webshells ASPX).
- Respuesta recomendada:
- Kill process del miner/loader.
- Bloqueo por hash del binario identificado.
- Registrar evidencia (árbol de procesos + artefactos creados) para hunting interno y validación de erradicación.
- Sandbox:
- Usar Sandbox para analizar de forma aislada:
- Scripts/archivos descargados encontrados durante la respuesta (dropper, PS1, EXE sospechosos).
- Adjuntos/instaladores no confiables si el incidente se originó por ejecución manual adicional.
- Objetivo: confirmar si el artefacto intenta descargar payloads, crear tareas/servicios, o iniciar minado.
- Medidas posteriores al incidente:
- Aplicar parches de Exchange que corrigen ProxyShell y validar el nivel de CU/SU correspondiente.
- Rotar credenciales administrativas y revisar accesos privilegiados, especialmente si hubo ejecución remota.
- Revisar persistencia:
- Tareas programadas, servicios, rutas temporales, y directorios web de Exchange/IIS.
- Auditoría de integridad:
- Verificar archivos de configuración críticos, y revisar logs de IIS/Exchange para detectar el vector y la ventana temporal del compromiso.
Notas opcionales:
- ProxyShellMiner suele encajar en intrusiones “rápidas” orientadas a monetización (minado), pero la explotación de Exchange también puede habilitar cargas más severas si el atacante decide pivotar o desplegar otros payloads.