Erkennung von Inhalten: GoldenHelper-Verhalten

Neueste Bedrohungen

Juli 17, 2020

2 min zu lesen

Erkennung von Inhalten: GoldenHelper-Verhalten

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Diese Woche werden wir im Abschnitt „Regel der Woche“ keine Regel hervorheben, da die heißesten Regeln bereits im gestrigen Spezialdigest veröffentlicht wurden, der den Regeln gewidmet ist, die die Ausnutzung einer kritischen Schwachstelle in Windows DNS Servern, CVE-2020-1350 (auch bekannt als SIGRed), erkennen.

Die heutige Veröffentlichung ist der Erkennung von GoldenHelper-Malware gewidmet, die in offizielle Software eingebettet war.  Gegner versteckten die Malware in der Golden Tax Invoicing Software (Baiwang Edition), die von chinesischen Banken zur Zahlung von Mehrwertsteuer benötigt wird. GoldenHelper-Malware nutzt ausgeklügelte Techniken, um ihre Bereitstellung, Präsenz und Aktivität zu verbergen. Einige der interessanten Techniken, die GoldenHelper verwendet, umfassen die Randomisierung des Namens während des Transports, die Randomisierung des Dateisystemstandorts, Timestomping, IP-basierte DGA (Domain Generation Algorithm), UAC-Umgehung und Privilegieneskalation. Entdeckte Versionen von GoldenHelper wurden digital von NouNou Technologies signiert und entwickelt, um eine endgültige Nutzlast abzulegen. Forscher glauben dass die Kampagne zur Verbreitung dieser Malware bereits beendet ist, aber Angreifer die endgültige Nutzlast auf kompromittierten Systemen immer noch nutzen können. Daher wird empfohlen, die Protokolle nach Spuren der GoldenHelper-Malware zu überprüfen. Ariel Millahuelsneue Regel ist so konzipiert, dass sie nicht nur Spuren der GoldenHelper-Malware, sondern auch die installierte Endnutzlast findet: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Verteidigungsevasion

Techniken: Registrierung ändern (T1112)

 

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko