Regelübersicht: CobaltStrike, APT10 und APT41

[post-views]
Juli 18, 2020 · 3 min zu lesen
Regelübersicht: CobaltStrike, APT10 und APT41

Wir freuen uns, Ihnen das regelmäßige Regel-Digestpräsentieren zu können, das ausschließlich aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten von APT-Gruppen aufzudecken, die mit der chinesischen Regierung in Verbindung stehen und das CobaltStrike-Tool in Cyber-Spionagekampagnen häufig verwenden.

Doch bevor wir direkt zum Regel-Digest übergehen, möchten wir Ihre Aufmerksamkeit auf eine kritische Schwachstelle in Windows-DNS-Servern lenken, CVE-2020-1350 (auch bekannt als SIGRed), sowie auf Threat-Hunting-Inhalte, um deren Ausnutzung zu erkennen. Sie können unseren speziellen Regel-Digest zu solchen Inhalten hier lesen: https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

Die Regel ‚Mögliche CobaltStrike PsExec-Dateinamen (via Audit)‘ ermöglicht Sicherheitssystemen, CobaltStrike-psexec-Verhalten schnell zu identifizieren, basierend auf seinem vorhersehbaren pseudorandomisierten Dienstbenennungsschema. CobaltStrike verwendet standardmäßig Exekutierbare mit 7 zufälligen alphanumerischen Zeichen (z.B. 28a3fe2.exe). CobaltStrike wird häufig von der APT41-Gruppe verwendet, aber auch viele andere Bedrohungsakteure nutzen dieses Tool, sodass die Community-Regel in fast jedem Unternehmen nützlich sein wird: https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

Warten Sie auf den nächsten Digest in einer Woche.

Bleiben Sie sicher!

Die folgenden zwei Regeln dienen der Erkennung der Aktivität der APT41-Gruppe. Diese Gruppe nutzt mehrere Malware-Familien, um den Zugriff auf diese Umgebung aufrechtzuerhalten, und in beobachteten Kampagnen setzten sie das ACEHASH-Tool ein, wenn Mimikatz versagte. ACEHASH ist ein Tool zum Diebstahl von Anmeldeinformationen und Passwort-Dumping, das die Funktionalität mehrerer Tools wie Mimikatz, hashdump und Windows Credential Editor kombiniert. Die Regel ‚Mögliche APT41 ACEHASH-Nutzung (via cmdline)‘ erkennt Instanzen ihrer vorherigen ACEHASH-Nutzung als verschlüsseltes Modul: https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

 

APT41 verwendet häufig das öffentlich verfügbare Dienstprogramm WMIEXEC, um seitwärts innerhalb einer Umgebung zu wechseln. WMIEXEC ist ein Tool, das die Ausführung von WMI-Befehlen auf entfernten Maschinen ermöglicht. Die Regel ‚Mögliche APT41 WMIEXEC-Nutzung (via cmdline)‘ erkennt eine angepasste Version von WMIEXEC von impacket, die von diesem Angreifer verwendet wird: https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

 

Und die letzten beiden Regeln helfen, die Aktivität einer anderen chinesischen Gruppe, APT10 (auch bekannt als menuPass), in einem Netzwerk einer Organisation zu erkennen. APT10 ist eine chinesische Cyber-Spionagegruppe, die seit 2009 aktiv ist. Sie hat historisch gesehen Bau- und Ingenieurunternehmen, die Luft- und Raumfahrt sowie Telekommunikationsunternehmen und Regierungen in den Vereinigten Staaten, Europa und Japan ins Visier genommen.

In vergangenen Kampagnen legten Angreifer TXT-Dateien mit bösartigen Makros ab, und dann dekodierten die gleichen Makros die abgelegten Dateien mit Windows certutil.exe und erstellten eine Kopie der Dateien mit ihren richtigen Erweiterungen mithilfe von Extensible Storage Engine Utilities (esentutil.exe). Die Regel ‚Mögliche menuPass TTP .TXT im Basis ungewöhnlicher Verzeichnisse (via cmdline)‘ kann solche Aktivitäten aufdecken, um den Angriff zu stoppen: https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1


Und die letzte Regel für heute hilft dabei, zu erkennen, wann dieser Bedrohungsakteur ‚proxyconnect‘ als Tool zum Proxen von RDP verwendet. Die Regel ‚Mögliche menuPass Hacktool proxyconnect (via cmdline)‘ ist hier verfügbar: https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

 

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Anmeldeinformationen-Zugriff, Sammlung 

Techniken: Dienst-Ausführung (T1569), Anmeldeinformationen-Dumping (T1003), PowerShell (T1086), Datenbereitstellung (T1074)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen