Regel-Digest: APT-Gruppen, Malware-Kampagnen und Windows-Telemetrie

[post-views]
Juni 13, 2020 · 5 min zu lesen
Regel-Digest: APT-Gruppen, Malware-Kampagnen und Windows-Telemetrie

Diese Woche hat unser Regel-Digest mehr Inhalte als gewöhnlich. Es sammelt Regeln zur Erkennung aktueller Angriffe von staatlich gesponserten Akteuren, Malware-Kampagnen von Cyberkriminellen und der Missbrauch von Windows-Telemetrie.

 

Mustang Panda ist die in China ansässige Bedrohungsgruppe, die die Fähigkeit gezeigt hat, schnell neue Werkzeuge und Taktiken in ihren Operationen zu assimilieren. Diese APT-Gruppe zielt im Allgemeinen auf nichtstaatliche Organisationen ab, und die Gegner verwenden häufig gemeinsame Malware wie Poison Ivy oder PlugX in ihren Kampagnen. Sie können eine Reihe von Umleitungen und dateilose, bösartige Implementierungen legitimer Werkzeuge verwenden, um Zugriff auf die Zielsysteme zu erhalten, und zuvor beobachtete legitime Domänen wiederverwenden, um Dateien zu hosten. 

Die Regel von Ariel Millahuel deckt die Aktivitäten der Bedrohungsakteure auf, die mit der Nutzung der DLL-Sideload-Technik (mit einem legitimen Binary) und dem Einsatz des PlugX-Trojaners verbunden sind.

Mögliche neue Mustang-Panda-Aktivität (via PlugX-Trojaner)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

Weitere Regeln zur Erkennung des PlugX-Trojaners auf Threat Detection Marketplace

 

Die Lookback-Malware wurde erstmals in einer Spear-Phishing-Kampagne eingesetzt, die auf US-Unternehmen im Versorgungssektorabzielte. Nach der Aufdeckung änderten die Betreiber des LookBack-Trojaners den Text der Phishing-E-Mails und setzten ihre Angriffe auf Organisationen fort, anstatt die Kampagne zu stoppen. Zunächst wurden diese Angriffe der chinesischen Cyber-Spy-Einheit zugeschrieben, aber durch weitere Beobachtung der Kampagnen konnten Forscher vorschlagen, dass die Ähnlichkeit in den TTPs von Angreifern als falsche Flagge genutzt werden könnte, um die Zuschreibung zu erschweren. Gleichzeitig mit den LookBack-Kampagnen identifizierten Proofpoint-Forscher eine neue, zusätzliche Malware-Familie namens FlowCloud, die ebenfalls an US-Versorger geliefert wurde. Die Malware gibt dem Bedrohungsakteur die vollständige Kontrolle über eine infizierte Maschine. Zu den Funktionalitäten gehört die Fähigkeit, auf installierte Anwendungen, die Tastatur, die Maus, den Bildschirm, Dateien, Dienste und Prozesse zuzugreifen sowie Informationen über Command and Control zu exfiltrieren. Die Community-Regel von Den Iuzvik erkennt Merkmale der TA410-Gruppe in LookBack- und FlowCloud-Malware-Kampagnen.

TA410 LookBack- und FlowCloud-Malware-Kampagnen (Sysmon-Verhalten)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

 

Charming Kitten ist eine iranische Cyber-Spionage-Einheit, die seit etwa 2014 aktiv ist und Organisationen aus den Bereichen Regierung, Verteidigungstechnologie, Militär und Diplomatie angreift. Die meisten ihrer Ziele befanden sich im Iran, in den Vereinigten Staaten, in Israel und im Vereinigten Königreich. Charming Kitten versucht normalerweise, auf private E-Mail- und Facebook-Konten zuzugreifen und etabliert manchmal als sekundäres Ziel einen Standpunkt auf den Computern der Opfer. Während der Angriffe verwendet die APT-Gruppe oft den DownPaper-Backdoor-Trojaner, dessen Hauptfunktion das Herunterladen und Ausführen einer nächsten Malware-Stufe ist. Diese Woche Lee Archinal veröffentlichte eine Reihe von Regeln zur Erkennung des DownPaper-Backdoors:

Charming Kitten Downpaper-Dateierstellung (Sysmon-Verhalten)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Charming Kitten Downpaper-Prozess ausgeführt (Befehlszeile) (Sysmon-Verhalten)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Charming Kitten Downpaper-Prozess ausgeführt (Powershell) (Sysmon-Verhalten)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Charming Kitten Downpaper-Registry-Änderung (Sysmon-Verhalten)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

 


Weiter in unserem Digest ein paar Regeln, die den Missbrauch der Windows-Telemetrie für die Beständigkeit aufdecken, die Windows-Maschinen von 2008R2/Windows 7 bis 2019/Windows 10 betrifft. Die Community-Regeln wurden von Den Iuzvik eingereicht und können verwendet werden, um den Missbrauch von CompatTelRunner.exe für die Beständigkeit aufzudecken. Sie können auch helfen, Aktionen eines fortgeschrittenen Bedrohungsakteurs zu erkennen, der bereits in das System eingedrungen ist und versucht, Privilegien auf System-Ebene zu erhöhen.

Missbrauch der Windows-Telemetrie CompatTelRunner.exe (Sysmon-Verhalten)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Missbrauch der Windows-Telemetrie CompatTelRunner.exe (Audit-Regel)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

Wir werden auch eine Community-Regel von Sreeman Shanker veröffentlichen, die ebenfalls diese Methode zur Beständigkeit erkennt 

 

Valak ist eine ausgeklügelte Malware, die erstmals Ende 2019 beobachtet wurde. Sie kann unabhängig als Informationsstehler verwendet werden, um Einzelpersonen und Unternehmen zu attackieren. Die neuesten Versionen von Valak zielen auf Microsoft Exchange-Server ab, um Unternehmensmailinginformationen und Passwörter sowie das Unternehmenszertifikat zu stehlen. Es kann E-Mail-Antworten hijacken und bösartige URLs oder Anhänge einbetten, um Geräte mit dateilosen Skripten zu infizieren. Entdeckte Kampagnen waren speziell auf Unternehmen in den Vereinigten Staaten und Deutschland ausgerichtet. Die neue Regel von Osman Demir zielt darauf ab, diese Bedrohung im Unternehmensnetzwerk zu erkennen.

Valak Malware und die Verbindung zu Gozi Loader ConfCrew

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

 

 

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Initialer Zugriff, Verschleierung, Ausführung, Persistenz, Privilegieneskalation, Command and Control 

Techniken: Spearphishing-Anhang (T1193), DLL-Side-Loading (T1073), Registry-Run-Keys / Autostart-Ordner (T1060), Geplanter Task (T1053), Registry ändern (T1112), Befehlszeilenschnittstelle (T1059), PowerShell (T1086), Scripting (T1064), Häufig verwendeter Port (T1043), Timestomp (T1099)

 

Warten Sie eine Woche auf das nächste Digest, und vergessen Sie nicht, sich für Weekly Talks on Breaking News in Cybersecurity anzumelden: https://my.socprime.com/en/weekly-talks/

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko