Bedrohungsjagd-Inhalt: Devil Shadow Botnet
Heutzutage verwenden viele Organisationen während der Ausgangssperre weiterhin Zoom auf Unternehmensebene, um Konferenzen abzuhalten, trotz der Sicherheitsprobleme, die in dieser Anwendung gefunden wurden. Angreifer haben die gestiegene Popularität dieser Anwendung seit mehreren Monaten ausgenutzt, und Sie können Ihre Organisation teilweise vor Angriffen schützen, indem Sie den Zoom-Dienst härten. Aber das wird das Problem nicht vollständig lösen, da Cyberkriminelle Benutzern Links zu Malware statt zum Zoom-Installer senden können und Malware jetzt in gefälschten Installernverstecken, die die legitime Version des Zoom-Installers ausführen, um keinen Verdacht zu erregen. Solche Installer sind größer und langsamer als eine legitime Datei, aber der gewöhnliche Benutzer wird wahrscheinlich nicht darauf achten. Auf diese Weise verbreiten Angreifer jetzt das Devil Shadow Botnet.
Mit diesem Botnet können Cyberkriminelle Opfer über die Webcam ausspionieren, Screenshots machen und ein Keylogger-Modul verwenden, um Anmeldedaten und andere sensible Informationen für die nächsten Schritte des Angriffs zu sammeln.
Teilnehmer am SOC Prime Threat Bounty Program reagierten schnell auf diese Bedrohung und veröffentlichten zwei Community Sigma-Regeln, um Spuren des Devil Shadow Botnets aufzudecken. Die Regeln sind ziemlich unterschiedlich und decken verschiedene MITRE ATT&CK-Techniken ab.
Fake ZOOM Installer.exe (Devil Shadow Botnet) von Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/
Devil Shadow Botnet versteckt in gefälschten Zoom-Installern von Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1
Die Regeln haben Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Ausführung, Rechteerweiterung, Zugang zu Anmeldedaten, Persistenz, Abwehrumgehung, Befehls- und Kontrollkommunikation
Techniken: Benutzer-Ausführung (T1204), Hooking (T1179), Kernel-Module und Erweiterungen (T1215), Prozess-Injektion (T1055), Software Packing (T1045), Ungewöhnlich genutzter Port (T1065)
Mehr Regeln zur Erkennung von Zoom-bezogenen Angriffen: https://tdm.socprime.com/?searchValue=zoom