Erkennung Inhalte: Jagd auf Netwire RAT

NetWire ist ein öffentlich verfügbarer Remote Access Trojaner, der Teil der NetWiredRC Malware-Familie ist und seit 2012 von Cyberkriminellen genutzt wird. Seine Hauptfunktionalität konzentriert sich auf das Stehlen von Anmeldedaten und Keylogging, aber er hat auch Fernsteuerungsfähigkeiten. Gegner verbreiten NetWire oft durch Malspam und Phishing-E-Mails. 

In einer kürzlichen Kampagne zielten Cyberkriminelle auf Nutzer in Deutschland ab und tarnten Phishing-E-Mails als deutscher Kurier-, Paket- und Expressversanddienst DHL. Die Angreifer nutzten MS Excel-Dokumente als böswilligen Anhang. Es aktiviert einen PowerShell-Befehl, um zwei Dateien von Pastebin herunterzuladen und darauf Zeichenersetzungen vorzunehmen, um die DLL-Datei zu dekodieren, den verschleierten NetWire RAT herunterzuladen und dann die dekodierte DLL zu verwenden, um den Trojaner in den legitimen Prozess zu injizieren. 

Eine neue Bedrohungsjagdregel von Osman Demir deckt PowerShell-Befehle zum Herunterladen bösartiger Dateien und zur Prozessinjektion in eine legitime Windows-Datei auf.

Netwire RAT über paste.ee und MS Excel – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Command and Control

Techniken: Remote Access Tools (T1219)

Sie können auch die Community-Regel überprüfen Netwire RAT-Erkennung über WScript: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/