IOC-Regel: Banking-Trojaner Grandoreiro

[post-views]
Mai 06, 2020 · 2 min zu lesen
IOC-Regel: Banking-Trojaner Grandoreiro

Ein kürzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenüber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung über einen langen Zeitraum erkennen. Heute befassen wir uns mit einer dieser Regeln – Banking Trojaner Grandoreiro von Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro ist einer von vielen Banking-Trojanern, die gegen Ziele in Lateinamerika eingesetzt werden. Die erste Erwähnung dieser Malware erschien 2017, als Angreifer sie nur in Peru und Brasilien verbreiteten, doch bald erweiterten Cyberkriminelle die Angriffsgeografie, indem sie Spanien und Mexiko zu ihren Zielen hinzufügten. Der Grandoreiro-Trojaner wird über Spam-E-Mails verteilt, die einen Link zu einer Website mit gefälschten Java- oder Flash-Updates enthalten. Seit Beginn der Pandemie nutzen Angreifer aktiv die Angst um COVID-19 in ihren Kampagnen.

 

Threat Detection wird auf den folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung, Privilegieneskalation, Verteidigungsausweichen, Persistenz

Techniken: Ausführung durch Modulladen (T1129), Prozessinjektion (T1055), Registry-Run-Keys / Startup-Ordner (T1060)

 

Trojaner nutzt MsiExec.exe missbräuchlich und wir bieten mehrere Regeln zur Erkennung solchen Verhaltens an:

Verdächtiges MsiExec-Verzeichnis von Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

MsiExec Webinstall von Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) von Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Msiexec.exe und Mavinject.exe Bypass (LolBins) von Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Msiexec-Manipulation zur Herstellung einer Verbindung mit einem C2-Server von Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten