Regel der Woche: Bunitu-Trojaner

[post-views]
Juni 12, 2020 · 2 min zu lesen
Regel der Woche: Bunitu-Trojaner

Heute in der Rubrik Regel der Woche möchten wir eine neue Threat-Hunting-Regel von Ariel Millahuel hervorheben, die dabei hilft, Muster des Bunitu Proxy Trojaners zu erkennen: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

Der Bunitu Trojaner wird verwendet, um infizierte Systeme in einen Proxy für entfernte Clients zu verwandeln. Seine schädlichen Aktionen können den Netzwerkverkehr verlangsamen, und Angreifer nutzen ihn oft als Werkzeug, um IP-Adressen infizierter Maschinen umzuleiten und sie für bösartige Zwecke zu missbrauchen. Sobald ein Computer infiziert ist, öffnet der Bunitu Trojaner Ports für Remote-Verbindungen, registriert die kompromittierte Maschine in der Datenbank, indem er Informationen über ihre Adresse und offenen Ports sendet, und akzeptiert dann Verbindungen an den exponierten Ports.

Angreifer können das infizierte System im Netzwerk der Organisation in verschiedenen betrügerischen Schemata nutzen, da die IP der infizierten Maschine diejenige ist, die von außen sichtbar ist. Bunitu Trojaner-Operatoren haben ihn zuvor oft über Exploit-Kits verteilt, einschließlich des berüchtigten RIG EK, welcher noch aktiv ist und die Sicherheit von Firmennetzwerken gefährdet, wo es schwierig ist, zeitgerechtes Patchen nachzuverfolgen.

Die Malware-Autoren nehmen an diesem Trojaner nicht oft drastische Änderungen vor, aber die verwendete Verpackung, bestehend aus vielen Schichten, ermöglicht es dem Bunitu Trojaner, für lange Zeit unentdeckt zu bleiben. Daher wird die Nutzung der Community-Regel von Ariel Millahuel helfen, den Trojaner im Netzwerk der Organisation rechtzeitig zu identifizieren.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Persistenz 

Techniken: Ausführung durch Modul-Ladung (T1129), Registrierungsschlüssel / Autostart-Ordner (T1060)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko