SmokeLoader-Erkennung: Verbreitung von Amadey Bot-Malware über Software-Cracks

[post-views]
August 03, 2022 · 4 min zu lesen
SmokeLoader-Erkennung: Verbreitung von Amadey Bot-Malware über Software-Cracks


Amadey Bot, ein berüchtigter Malware-Stamm, der 2018 erstmals in der Cyber-Bedrohungsarena auftauchte, ist in der Lage, Daten zu stehlen und andere bösartige Nutzlasten auf dem kompromittierten System zu installieren. Er wird aktiv über Hackerforen verteilt, um offensive Operationen durchzuführen. Cybersicherheitsexperten haben kürzlich die Verbreitung einer neuen Version der Amadey Bot-Malware über SmokeLoader bösartige Kampagnen beobachtet, die Software-Cracks und Key-Generierungsprogramme von Websites als Köder nutzen.

Erkennen Sie, dass SmokeLoader AmadeyBot in den neuesten Kampagnen einsetzt

Mit einer ständig wachsenden Anzahl an Angriffen und sich schnell entwickelnden Bedrohungsvektoren suchen Cybersicherheitsspezialisten nach neuen Wegen, um die Verteidigung ihrer Organisationen proaktiv zu stärken. Die Detection as Code-Plattform von SOC Prime kuratiert eine Reihe von Sigma-Regeln um globalen Organisationen effektiv zu helfen, sich gegen eine neue Version des Amadey Bot zu verteidigen, die durch Smoke Loader in den neuesten gegnerischen Kampagnen installiert wurde.

Alle dedizierten Sigma-Regeln sind in führende SIEM-, EDR- und XDR-Lösungen umwandelbar und mit dem MITRE ATT&CK®-Framework abgestimmt, um umfassende Sicht auf verwandte Bedrohungen zu gewährleisten. Folgen Sie den unten stehenden Links, um diese kuratierten Erkennungen zu erhalten, die von unseren produktiven Inhaltsbeiträgern und aktiven Teilnehmern des Threat Bounty Program erstellt wurden, Aykut Gurses, Nattatorn Chuensangarun, und Aytek Aytemur:

SmokeLoader Malware Verdächtige Persistenzaktivität (über cmdline)

Diese von Aykut Gurses entwickelte Threat-Hunting-Abfrage erkennt einen persistierenden Angriff als Ergebnis der Benutzerausführung von SmokoLoader- und Amadey Bot-Malware, die über Software-Cracks oder Keygen-Websites eingespielt wird. Die Erkennungsregel behandelt die Verteidigungsumgehung und Ausführung ATT&CK-Taktiken zusammen mit ihren entsprechenden Techniken, einschließlich Registry ändern (T1112), Geplante Aufgabe/Job (T1053) und Benutzerausführung (T1204).

Mögliche SmokeLoader-Persistenz durch Registrierungsänderung über Amadey Bot Verteilung (via process_creation)

Die oben erwähnte, von Nattatorn Chuensangarun entwickelte Threat-Hunting-Abfrage erkennt die bösartige Aktivität der SmokeLoader-Persistenz, indem es sich selbst durch eine Registrierschlüsseländerung in den Temporären Pfad kopiert. Diese Sigma-Regel behandelt die Verteidigungsumgehungsgegner-Taktik mit der Registrierungsänderung (T1112) als primäre Technik.

Neue Version von Amadey Bot verteilt über SmokeLoader (via process_creation)

Diese Sigma-Regel von Aytek Aytemur erkennt die verdächtige schtasks.exe Aktivität, die von der Amadey Bot-Malware ausgeführt wird, die von SmokeLoader installiert wurde. Die Erkennung bezieht sich auf die Geplante Aufgabe/Job (T1053) ATT&CK-Technik aus dem Ausführungstaktik-Repertoire.

Branchenexperten und angehende Erkennungserstellungsinhalt-Beitragende können ihre Detektionstechnik und Threat-Hunting-Fähigkeiten verbessern, indem sie dem Threat Bounty Program beitreten, das von SOC Primes Crowdsourcing-Initiative unterstützt wird. Erstellen Sie Erkennungsinhalte, teilen Sie sie mit Branchenkollegen und erhalten Sie finanzielle Belohnungen für Ihre Beiträge bei einer brillanten Gelegenheit zur Selbstverwirklichung.

Um Zugriff auf die vollständige Liste der Sigma-Regeln zur Erkennung von SmokeLoader-Malware zu erhalten, klicken Sie auf den Detect & Hunt -Button unten. Nicht registrierte SOC Prime-Nutzer können auch sofort in den umfassenden Bedrohungskontext der neuesten SmokeLoader-Kampagnen eintauchen und Amadey Bot mit der Cyber-Threats-Suchmaschine von SOC Prime herunterladen. Klicken Sie auf den Explore Threat Context -Button und gelangen Sie zu tiefgehenden kontextuellen Metadaten, einschließlich MITRE ATT&CK- und CTI-Referenzen, Medienlinks und weiteren Einsichten, begleitet von den neuesten Sigma-Regeln von SOC Primes Plattform.

Detect & Hunt Explore Threat Context

Seit es 2018 aufgetaucht ist, wurde Amadey Bot häufig von Gegnern genutzt, um Erkundungsaktivitäten durchzuführen, sensible Daten von den infizierten Hosts zu stehlen und zusätzliche bösartige Nutzlasten zu liefern. Während die Malware-Verbreitung in den Jahren 2020-2021 zurückging, tauchte Amadey Bot 2022 mit erweiterten Funktionen wieder auf und wechselte von Fallout- und Rig-Exploits-Kits zu SmokeLoader als Hauptlieferungsmethode.

Laut der Untersuchung von AhnLab wird SmokeLoader typischerweise von ahnungslosen Opfern als Teil von Software-Cracks oder Keygens ausgeführt. So überwindet die Malware erfolgreich Antivirus-Warnungen, da Nutzer dazu neigen, den Schutz während der Installation von Software-Cracks zu deaktivieren. Darüber hinaus injiziert SmokeLoader die bösartige Nutzlast in den explorer.exe -Prozess und verteilt Amadey auf dem kompromittierten System.

Bemerkenswert ist, dass die neueste Version 3.21 von Amadey Bot in der Lage ist, rund 14 Antivirus-Produkte zu identifizieren und Erkennungen zu umgehen, während sie auf dem Host beständig wird. Nach dem Sammeln von Systeminformationen verteilt Amadey zusätzliche Malware, einschließlich verschiedener Informationsdiebe wie RedLine. Die bösartigen Nutzlasten werden abgerufen und mit UAC-Bypassing und Privilegienerhöhung ausgeführt. Zudem wird PowerShell verwendet, um Windows Defender auszuschließen und eine verdeckte Installation sicherzustellen.

Um eine Amadey Bot- und SmokeLoader-Infektion zu verhindern, sollten Nutzer darauf verzichten, Software-Cracks und illegitime Key-Generatoren zu nutzen. Auch können Sicherheitsspezialisten ihre Bedrohungserkennungskapazitäten und Geschwindigkeit des Threat-Huntings steigern, indem sie sich bei SOC Primes Detection as Code-Plattformregistrieren. Die Plattform aggregiert über 200.000 Erkennungsalgorithmen für bestehende und aufkommende Bedrohungen, die innerhalb eines 24-Stunden-Zeitrahmens bereitgestellt werden, und ermöglicht es, den Angreifern einen Schritt voraus zu sein. Erfahrene Threat-Hunter und Sicherheitsanalysten sind herzlich eingeladen, unser Threat Bounty Program beizutreten, um ihre Sigma-Regeln einzureichen und regelmäßige Auszahlungen zu erhalten, während sie zur kollaborativen Cyberabwehr beitragen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung des MQsTTang-Backdoors: Neue maßgeschneiderte Malware von Mustang Panda APT wird aktiv in der neuesten Kampagne gegen Regierungsbehörden eingesetzt
Blog, Neueste Bedrohungen — 4 min zu lesen
Erkennung des MQsTTang-Backdoors: Neue maßgeschneiderte Malware von Mustang Panda APT wird aktiv in der neuesten Kampagne gegen Regierungsbehörden eingesetzt
Daryna Olyniychuk
MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass
Blog, Neueste Bedrohungen — 3 min zu lesen
MagicWeb-Erkennung: NOBELIUM APT nutzt ausgeklügeltes Authentifizierungs-Bypass
Anastasiia Yevdokimova
PyPi-Malware-Erkennung: Diebstahl von Discord-Token zur Verbreitung von Malware
Blog, Neueste Bedrohungen — 3 min zu lesen
PyPi-Malware-Erkennung: Diebstahl von Discord-Token zur Verbreitung von Malware
Anastasiia Yevdokimova