IOC-Regel: Banking-Trojaner Grandoreiro

Ein kürzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenüber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung über einen langen Zeitraum erkennen. Heute befassen wir uns mit einer dieser Regeln – Banking Trojaner Grandoreiro von Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro ist einer von vielen Banking-Trojanern, die gegen Ziele in Lateinamerika eingesetzt werden. Die erste Erwähnung dieser Malware erschien 2017, als Angreifer sie nur in Peru und Brasilien verbreiteten, doch bald erweiterten Cyberkriminelle die Angriffsgeografie, indem sie Spanien und Mexiko zu ihren Zielen hinzufügten. Der Grandoreiro-Trojaner wird über Spam-E-Mails verteilt, die einen Link zu einer Website mit gefälschten Java- oder Flash-Updates enthalten. Seit Beginn der Pandemie nutzen Angreifer aktiv die Angst um COVID-19 in ihren Kampagnen.

Threat Detection wird auf den folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung, Privilegieneskalation, Verteidigungsausweichen, Persistenz

Techniken: Ausführung durch Modulladen (T1129), Prozessinjektion (T1055), Registry-Run-Keys / Startup-Ordner (T1060)

Trojaner nutzt MsiExec.exe missbräuchlich und wir bieten mehrere Regeln zur Erkennung solchen Verhaltens an:

Verdächtiges MsiExec-Verzeichnis von Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

MsiExec Webinstall von Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) von Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Msiexec.exe und Mavinject.exe Bypass (LolBins) von Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Msiexec-Manipulation zur Herstellung einer Verbindung mit einem C2-Server von Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/