Bedrohungsjagd-Inhalt: Devil Shadow Botnet

[post-views]
Juni 01, 2020 · 2 min zu lesen
Bedrohungsjagd-Inhalt: Devil Shadow Botnet

Heutzutage verwenden viele Organisationen während der Ausgangssperre weiterhin Zoom auf Unternehmensebene, um Konferenzen abzuhalten, trotz der Sicherheitsprobleme, die in dieser Anwendung gefunden wurden. Angreifer haben die gestiegene Popularität dieser Anwendung seit mehreren Monaten ausgenutzt, und Sie können Ihre Organisation teilweise vor Angriffen schützen, indem Sie den Zoom-Dienst härten. Aber das wird das Problem nicht vollständig lösen, da Cyberkriminelle Benutzern Links zu Malware statt zum Zoom-Installer senden können und Malware jetzt in gefälschten Installernverstecken, die die legitime Version des Zoom-Installers ausführen, um keinen Verdacht zu erregen. Solche Installer sind größer und langsamer als eine legitime Datei, aber der gewöhnliche Benutzer wird wahrscheinlich nicht darauf achten. Auf diese Weise verbreiten Angreifer jetzt das Devil Shadow Botnet.

Mit diesem Botnet können Cyberkriminelle Opfer über die Webcam ausspionieren, Screenshots machen und ein Keylogger-Modul verwenden, um Anmeldedaten und andere sensible Informationen für die nächsten Schritte des Angriffs zu sammeln.

Teilnehmer am SOC Prime Threat Bounty Program reagierten schnell auf diese Bedrohung und veröffentlichten zwei Community Sigma-Regeln, um Spuren des Devil Shadow Botnets aufzudecken. Die Regeln sind ziemlich unterschiedlich und decken verschiedene MITRE ATT&CK-Techniken ab.

Fake ZOOM Installer.exe (Devil Shadow Botnet) von Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet versteckt in gefälschten Zoom-Installern von Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Ausführung, Rechteerweiterung, Zugang zu Anmeldedaten, Persistenz, Abwehrumgehung, Befehls- und Kontrollkommunikation

Techniken: Benutzer-Ausführung (T1204), Hooking (T1179), Kernel-Module und Erweiterungen (T1215), Prozess-Injektion (T1055), Software Packing (T1045), Ungewöhnlich genutzter Port (T1065)

Mehr Regeln zur Erkennung von Zoom-bezogenen Angriffen: https://tdm.socprime.com/?searchValue=zoom

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.