Erkennung von Nanocore RAT

[post-views]
September 04, 2020 · 2 min zu lesen
Erkennung von Nanocore RAT

Nanocore RAT wurde seit etwa 7 Jahren in Cyberangriffen verwendet, und es gibt eine große Anzahl von Modifikationen dieses Trojaners. Offizielle, „semi-offizielle“ und geknackte Versionen dieser Malware werden auf Foren im DarkNet verkauft, und manchmal sogar kostenlos abgegeben gratis, daher ist es nicht überraschend, dass die Anzahl der Angriffe damit hoch bleibt. 

Das Design von Nanocore RAT ist auf Benutzerfreundlichkeit ausgerichtet, sodass auch ungeschulte Angreifer vollwertige bösartige Kampagnen durchführen können. Der Trojaner verfügt über eine Vielzahl von Funktionen zur Spionage und Fernsteuerung des Systems. Er bietet vollen Zugriff auf das infizierte System und ermöglicht es Angreifern, Audio- und Videoaufnahmen zu machen, Tastenanschläge aufzuzeichnen, Anmeldeinformationen und andere persönliche Informationen zu sammeln.

NanoCore RAT wird mit Basis-Plugins geliefert, die die Leistungsfähigkeit der Malware erweitern und es Bedrohungsakteuren erlauben, fast alles zu tun, was sie wollen, sobald sie die vollständige, anonyme Kontrolle über infizierte Systeme erlangt haben. 

Die exklusive Sigma-Regel „NanoCore detection“ ist einer der allerersten Beiträge von Aytek Aytemur, der kürzlich dem Threat Bounty Program beigetreten ist: https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz, Privilegieneskalation

Techniken: Geplanter Task (T1053)

 

 

Weitere Inhalte von Threat Bounty Program Entwicklern zur Erkennung von NanoCore:

NanoCore Rat Detection (Persistenz über schtasks) von Emir Erdogan

 

Nanocore-Verhalten (PowerShell-Erkennung) von Ariel Millahuel



Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder am Threat Bounty Program teilnehmen um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung des MQsTTang-Backdoors: Neue maßgeschneiderte Malware von Mustang Panda APT wird aktiv in der neuesten Kampagne gegen Regierungsbehörden eingesetzt
Blog, Neueste Bedrohungen — 4 min zu lesen
Erkennung des MQsTTang-Backdoors: Neue maßgeschneiderte Malware von Mustang Panda APT wird aktiv in der neuesten Kampagne gegen Regierungsbehörden eingesetzt
Daryna Olyniychuk
MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass
Blog, Neueste Bedrohungen — 3 min zu lesen
MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass
Anastasiia Yevdokimova
PyPi-Malware-Erkennung: Diebstahl von Discord-Token zur Verbreitung von Malware
Blog, Neueste Bedrohungen — 3 min zu lesen
PyPi-Malware-Erkennung: Diebstahl von Discord-Token zur Verbreitung von Malware
Anastasiia Yevdokimova