Une nouvelle règle communautaire par Ariel Millahuel qui permet la détection du chargeur Buer est disponible sur le Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/
Buer est un chargeur modulaire qui a été repéré pour la première fois à la fin de l’été dernier et depuis, ce malware a été activement promu sur les marchés souterrains. Les chercheurs de Proofpoint ont suivi de nombreuses campagnes diffusant le chargeur Buer, il a été diffusé par des emails de phishing avec des pièces jointes malveillantes et des kits d’exploitation. Le malware est écrit en C, s’exécute entièrement en mémoire résidente et peut infecter à la fois les systèmes Windows 32 bits et 64 bits. Le chargeur Buer communique via HTTPS, et est assez populaire en raison de ses capacités anti-analyse. Les capacités du malware sont similaires à celles de Smoke Loader mentionné dans notre précédent Rule Digest : https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/
Ariel Millahuel est l’auteur d’environ 200 règles Sigma exclusives et communautaires. Il a rejoint le Threat Bounty Program à l’automne 2019 et depuis, il s’est activement impliqué dans le développement communautaire. L’entretien avec Ariel est publié sur notre site web : https://socprime.com/blog/interview-with-developer-ariel-millahuel/
La détection des menaces est prise en charge pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint
EDR : Carbon Black, Elastic Endpoint
MITRE ATT&CK :
Tactiques : Persistance
Techniques : Clés de registre Run / Dossier de démarrage (Е1060), DLL d’aide Winlogon (Е1004)
