Erkennung von Gh0stCringe RAT
Inhaltsverzeichnis:
Gh0stCringe Malware: Variante des berüchtigten Gh0st RAT
Das Gh0stCringe, oder CirenegRAT Malware, basierend auf dem Code von Gh0st RAT, ist zurück und gefährdet schlecht geschützte Microsoft SQL und MySQL Datenbankserver. Dieser Remote Access Trojaner (RAT) wurde erstmals im Dezember 2018 entdeckt und tauchte 2020 erneut in China-verbundenen Cyber-Spionageangriffen auf Regierungen und Unternehmensnetzwerke in den USA auf. Die neue Malware wird gegen Datenbankserver mit schwachen Admin-Passwörtern eingesetzt.
Gh0stCringe Malware-Erkennung
Für eine effiziente Erkennung von Gh0stCringe RAT verwenden Sie die untenstehende Sigma-Regel, die von einem talentierten Mitglied des SOC Prime Threat Bounty Programms entwickelt wurde Sittikorn Sangrattanapitak, um rechtzeitig verdächtige Aufklärungsaktivitäten in Ihrem System zu verfolgen:
Gh0stCringe RAT erzeugt verdächtige Prozesse auf anfälligen Datenbankservern
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und adressiert die Taktik des anfänglichen Zugriffs mit der Technik der Ausnutzung einer öffentlich zugänglichen Anwendung (T1190) als primäre Technik.
Um andere mögliche Systemkompromittierungen zu erkennen, siehe die vollständige Liste der Regeln , verfügbar im Threat Detection Marketplace Repository der SOC Prime Plattform. Fachleute für Cybersicherheit sind eingeladen, dem Threat Bounty Programm beizutreten, um kuratierte Sigma-Regeln mit der Community zu teilen und wiederkehrende Belohnungen zu erhalten.
Erkennungen anzeigen Dem Threat Bounty beitreten
Analyse des Gh0stCringe RAT
AhnLabs ASEC Forscher enthüllten RAT-Malware, die auf MS-SQL-, MySQL-Server mit leicht kompromittierbaren Kontozugangsdaten oder ungepatchten Schwachstellen abzielt. Die Malware namens Gh0stCringe, auch bekannt als cineregRAT, ist eine Variante des Gh0st RAT, dessen Quellcode öffentlich freigegeben wurde.
Es wird berichtet, dass Bedrohungsakteure den Gh0stCringe RAT einsetzen, der sich reibungslos mit dem C2-Server verbindet, um benutzerdefinierte Befehle zu akzeptieren oder gestohlene Daten zu exfiltrieren. In der jüngsten Kampagne kompromittieren Gegner Datenbankserver, indem sie die Prozesse mysqld.exe, mysqld-nt.exe und sqlserver.exe verwenden, um die bösartige ‚mcsql.exe‘-Datei auf kompromittierten Systemen zu speichern.
Nach seiner Bereitstellung wird Gh0stCringe verwendet, um erforderliche Webseiten über den Internet Explorer Webbrowser zuzugreifen, Nutzlasten wie Krypto-Miner von C2-Servern herunterzuladen, Windows-System- und Sicherheitsproduktdaten zu stehlen und den Master Boot Record (MBR) des Systems zu zerstören.
Die Bereitstellung von Gh0stCringe RAT liefert einen Keylogger, der Benutzereingaben vom infizierten System abfängt.
Um Ihr Unternehmen vor dieser oder einer bevorstehenden Cyberbedrohung zu schützen, registrieren Sie sich auf der SOC Prime’s Detection as Code Plattform. Erkennen Sie die neuesten Bedrohungen in Ihrer Sicherheitsumgebung, verbessern Sie die Log-Quellen- und MITRE ATT&CK-Abdeckung, und verteidigen Sie sich einfacher, schneller und effizienter gegen Angriffe.
