Erkennung der Serpent-Backdoor: Eine neue hinterhältige Malware trifft französische Einrichtungen
Inhaltsverzeichnis:
Eine neu gezielte Malware wurde beobachtet, die Regierungs- und Bauunternehmen in Frankreich angreift. Proofpoint führte umfangreiche Forschung über die als Serpent bezeichnete Malware.
Serpent Backdoor-Analyse zeigte, dass Angreifer einige ungewöhnliche Verhaltensweisen nutzen, die noch nie zuvor entdeckt wurden. Dies erfordert die Erstellung neuer Erkennungsinhalte, die speziell diese neuen Techniken zur Umgehung von Verteidigungsmechanismen erfassen. Tauchen Sie in unseren neuen Ansatz zur Erkennung der Serpent-Backdoor-Malware ein und bleiben Sie der neuartigen Bedrohung einen Schritt voraus.
Erkennen Sie Serpent Backdoor: Wie man verdächtige Aktivitäten identifiziert
Diese Regel, erstellt von unserem Threat Bounty-Entwickler Emir Erdogan erkennt verdächtiges Verhalten, wenn eine Nutzlast eine einmalige Aufgabe erstellt, um PE aufzurufen, ein Ereignis erstellt, um es zu triggern, und dann die Aufgabe löscht.
Nach dem Einloggen in Ihr SOC Prime-Konto (oder der Erstellung eines neuen, falls Sie noch keins haben), können Sie auf den Code in Sigma- und anbieter-spezifischen Formaten zugreifen, sowie auf die zugehörigen Intelligencedaten, die mit der als Serpent verfolgten Backdoor.
Diese Regel wird in folgende SIEM-, EDR- und XDR-Formate übersetzt: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 ausgerichtet, wobei die Ausführung von signierten Proxy-Binärdateien als primäre Technik adressiert wird.
Zugriff auf Tausende anderer wertvoller Erkennungsregeln auf unserer Detection as Code-Plattform, indem Sie den untenstehenden Button klicken. Außerdem, wenn Sie ein erfahrener Cyberforscher oder Erkennungsingenieur sind, können Sie Ihre wertvollen Einblicke teilen, indem Sie Ihre Inhalte an unser Threat Bounty-Programm übermitteln und eine monetäre Belohnung dafür erhalten.
Erkennungen anzeigen Threat Bounty beitreten
Serpent Schlüpfrige Angriffskette
In der ersten Phase des Angriffs liefern Spear-Phishing-E-Mails makrobasierte Microsoft-Word-Dokumente, die einen Chocolatey Windows-Paketmanager mit versteckten bösartigen Nutzlasten enthalten. An einigen Stellen zeigen VBA-Makros eine Schlange mit ASCII-Codierung, weshalb Forscher diese Backdoor als Serpent bezeichnen.
Die fehlerhafte Microsoft-Word-Datei tarnt sich als GDPR-Dokumentation, sodass die Opfer selten etwas Ungewöhnliches vermuten. Die Ausführung des Makros führt zu einer Bild-URL, die ein mit Hilfe der Steganographie getarntes Base64-PowerShell-Skript enthält.
Der Chocolatey-Paket-Installer ist etwas Neues, das in Ausführungsketten von Angriffen bisher nicht beobachtet wurde. Es ist ein legitimes Automatisierungstool für Windows, das Pakete aus separaten ZIP-Archiven, Skripten, Installationsprogrammen und EXE-Dateien kompiliert. Angreifer verwenden Chocolatey, um die Serpent Backdoor zu installieren auf dem Gerät eines Benutzers. Diese Malware würde die Remote-Administration, den Zugriff auf C&C-Server, den Datendiebstahl und die Installation weiterer Nutzlasten ermöglichen.
In der nächsten Phase installiert Chocolatey auch eine Reihe von Python-Abhängigkeiten für die Serpent-Backdoor, um die Systeme fernzusteuern. Beispielsweise installiert ein Pip-Python-Paket-Installer den PySocks-Proxy-Client, empfängt ein weiteres mit Steganographie verstecktes Skript über eine Bild-URL, das bei der Ausführung eine BAT-Datei erstellt, die ebenfalls ein Python-Skript ausführt.
Proofpoint-Forscher spezifizierten nicht die Ziele dieses Angriffs, aber sie erwähnten, dass verfügbare Beweise für mehrere einzigartige Verhaltensweisen auf einen fortgeschrittenen gezielten Angriff hinweisen.
Während Cyberangriffe wie dieser zunehmend ausgefeilter werden, wird es für einzelne Organisationen schwieriger, diesen Kampf allein zu führen. Eine praktikable Lösung ist es, die Vorteile eines kollaborativen Verteidigungsansatzes zu nutzen, indem man der SOC Prime Detection as Code Plattform beitritt.
