Bedrohungsjagd-Inhalt: AsyncRat-Erkennung
Heute, in der Threat Hunting Inhalte Kolumne, wecken wir Ihr Interesse an der AsyncRAT Erkennung (Sysmon-Verhalten) Community-Regel von Emir Erdogan. Die Regel ermöglicht die Erkennung von AsyncRat durch Verwendung von Sysmon-Protokollen.
Laut dem Autor des Projekts auf GitHub, ist AsyncRat ein Remote Access Tool, das entwickelt wurde, um andere Computer über eine sicher verschlüsselte Verbindung aus der Ferne zu überwachen und zu steuern, einzig zu Bildungszwecken. Die Projektseite enthält sogar einen rechtlichen Hinweis, der die Verwendung dieses Tools zu bösartigen Zwecken verbietet, aber wann hat das die Angreifer je aufgehalten?
Der Code von AsyncRAT ist öffentlich auf der GitHub-Seite verfügbar und kann ein sehr bedrohliches Werkzeug in den Händen von erfahrenen Bedrohungsakteuren sein. Es unterscheidet sich nicht wesentlich von den meisten Remote Access Trojans, aber sein Code ist öffentlich verfügbar, und selbst ein ungeschickter Cyberkrimineller kann ihn für Angriffe nutzen. Erfahrenere Angreifer können sogar ihre eigene Malware auf Basis des Open-Source-Codes erstellen.
Gegner können AsyncRat verwenden, um Anmeldedaten und andere sensible Informationen zu stehlen, Video- und Audioaufnahmen zu machen, Informationen von Messaging-Diensten, Webbrowsern und FTP-Clients zu sammeln. Außerdem ist das Tool in der Lage, Dateien auf dem infizierten System herunterzuladen und hochzuladen, sodass es zusätzliche Malware für den erweiterten Angriff bereitstellen kann.
Die Threat-Hunting-Inhalte, die dieses „Remote Access Tool“ erkennen, sind im Threat Detection Marketplace verfügbar: https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Umgehung der Sicherheitsmechanismen, Privilegieneskalation, Persistenz, Ausführung
Techniken: Code-Signierung (T1116), Prozessinjektion (T1055), Registrierungs-Run-Keys / Autostart-Ordner (T1060), Geplante Aufgabe (T1053)
