Threat-Hunting-Inhalt: PipeMon-Malware-Erkennung

[post-views]
Mai 27, 2020 · 2 min zu lesen
Threat-Hunting-Inhalt: PipeMon-Malware-Erkennung

PipeMon ist ein modularer Backdoor, der mit einem Zertifikat unterzeichnet ist, das zu einer Videospielefirma gehört, die 2018 von der Winnti-Gruppe kompromittiert wurde. Forscher bei ESET entdeckten diesen Backdoor, der in Angriffen auf Firmen in Südkorea und Taiwan verwendet wurde, die beliebte Massively Multiplayer Online-Spiele entwickeln. Sie benannten den Backdoor PipeMon, weil der Malware-Autor „Monitor“ als Namen des Visual-Studio-Projekts verwendete und mehrere benannte Pipes für die Kommunikation zwischen Modulen eingesetzt wurden. Jedes beobachtete Modul zeigt unterschiedliche Funktionen und es handelt sich um eine einzelne DLL, die eine Funktion namens IntelLoader exportiert und mit einer reflektierenden Ladetechnik geladen wird. Während der Installation platziert der Loader die Malware in den Windows-Print-Processors-Ordner und setup.dll registriert den bösartigen DLL-Loader als alternativen Druckprozessor.

Die Winnti-Gruppe ist seit mindestens 2011 aktiv und zielt hauptsächlich auf die Videospiele- und Softwareindustrie mit seltenen Angriffen auf den Gesundheits- und Bildungssektor. Sie sind berüchtigt für hochkarätige Supply-Chain-Angriffe und das Trojanisieren beliebter Software. Ihre Operation ShadowHammer betraf Zehntausende von Systemen weltweit, und im letzten Herbst nutzte die Winnti-Gruppe PortReuse-Malware im Angriff auf einen großen Mobilgeräte- und Softwarehersteller in Asien. Während der Untersuchung der neuesten Kampagne entdeckten Forscher mindestens einen Fall, bei dem die Gruppe in der Lage war, das Build-System einer Organisation zu kompromittieren und die Möglichkeit hatte, Malware in die ausführbare Videospieldatei einzupflanzen.

Eine Threat Hunting-Regel von Ariel Millahuel ermöglicht Ihrer Sicherheitslösung, die Registrierung des PipeMon modularen Backdoors als alternativen Druckprozessor zu erkennen: https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Verteidigungsevasion

Techniken: Registrierung ändern (T1112), Verschleierte Dateien oder Informationen (T1027)

Akteure: Winnti-Gruppe

 

Mehr Threat Hunting-Inhalte in unserem Blog: https://socprime.com/tag/threat-hunting-content/

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.