Erkennung von Inhalten: GoldenHelper-Verhalten

Diese Woche werden wir im Abschnitt „Regel der Woche“ keine Regel hervorheben, da die heißesten Regeln bereits im gestrigen Spezialdigest veröffentlicht wurden, der den Regeln gewidmet ist, die die Ausnutzung einer kritischen Schwachstelle in Windows DNS Servern, CVE-2020-1350 (auch bekannt als SIGRed), erkennen.

Die heutige Veröffentlichung ist der Erkennung von GoldenHelper-Malware gewidmet, die in offizielle Software eingebettet war.  Gegner versteckten die Malware in der Golden Tax Invoicing Software (Baiwang Edition), die von chinesischen Banken zur Zahlung von Mehrwertsteuer benötigt wird. GoldenHelper-Malware nutzt ausgeklügelte Techniken, um ihre Bereitstellung, Präsenz und Aktivität zu verbergen. Einige der interessanten Techniken, die GoldenHelper verwendet, umfassen die Randomisierung des Namens während des Transports, die Randomisierung des Dateisystemstandorts, Timestomping, IP-basierte DGA (Domain Generation Algorithm), UAC-Umgehung und Privilegieneskalation. Entdeckte Versionen von GoldenHelper wurden digital von NouNou Technologies signiert und entwickelt, um eine endgültige Nutzlast abzulegen. Forscher glauben dass die Kampagne zur Verbreitung dieser Malware bereits beendet ist, aber Angreifer die endgültige Nutzlast auf kompromittierten Systemen immer noch nutzen können. Daher wird empfohlen, die Protokolle nach Spuren der GoldenHelper-Malware zu überprüfen. Ariel Millahuelsneue Regel ist so konzipiert, dass sie nicht nur Spuren der GoldenHelper-Malware, sondern auch die installierte Endnutzlast findet: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Verteidigungsevasion

Techniken: Registrierung ändern (T1112)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.