Die exklusive Regel ‚Process Injection by Ursnif (Dreambot Malware)‘ von Emir Erdogan ist im Threat Detection Marketplace veröffentlicht: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/
Der Ursnif Banking-Trojaner wurde von Angreifern in verschiedenen Modifikationen seit etwa 13 Jahren genutzt, ständig mit neuen Funktionen ausgestattet und mit neuen Tricks versehen, um Sicherheitslösungen zu umgehen. Sein Quellcode wurde 2014 geleakt, und seitdem steht Ursnif häufig in den Top 10 Malware-Charts, und verschiedene Modifikationen des Trojaners werden weltweit eingesetzt, um sensible Bankinformationen und Anmeldedaten auf dem infizierten System zu stehlen. Diese Regel ermöglicht es Ihrer Lösung, Ursnif zu erkennen, wenn er sich in den schädlichen Prozess injiziert. Das Erkennen des Trojaners in einem frühen Stadium verhindert Datendiebstahl und identifiziert Anmeldedaten, die kompromittiert werden könnten.
Emir Erdogan ist einer der aktivsten Teilnehmer des SOC Prime Threat Bounty Developer-Programms. Seit September 2019 hat er über 100 Community- und exklusive Regeln veröffentlicht, die aufgrund der hohen Inhaltsqualität und Sicherheitsrelevanz die Aufmerksamkeit der TDM-Nutzer erregt haben.
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK®:
Taktiken: Ausführung, Anmeldeinformationszugriff, Verteidigung Umgehung, Privilegieneskalation
Techniken: Befehlszeilenschnittstelle (T1059), Anmeldeinformationen in Dateien (T1081), Prozessinjektion (T1055), Rundll32 (T1085)
Sie können andere Taktiken, die vom Ursnif Banking-Trojaner verwendet werden, im MITRE ATT&CK® Abschnitt im Threat Detection Marketplace erkunden: https://tdm.socprime.com/att-ck/
