Bedrohungsjagd-Inhalt: SamoRAT-Verhalten

[post-views]
Juli 14, 2020 · 2 min zu lesen
Bedrohungsjagd-Inhalt: SamoRAT-Verhalten

Heute im Abschnitt Bedrohungssuche möchten wir auf die Community-Regel aufmerksam machen, die im Threat Detection Marketplace von Ariel Millahuel veröffentlicht wurde, die frische Proben der SamoRAT-Malware erkennt: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Dieses Remote-Access-Trojaner erschien auf den Radaren der Forscher kürzlich, die ersten SamoRAT-Proben wurden vor etwa einem Monat entdeckt. Der Trojaner ist eine .NET-basierte Malware, die hauptsächlich von Cyberkriminellen verwendet wird, um verschiedene Befehle auf dem infizierten System zu empfangen und auszuführen. Wie andere Remote-Access-Trojaner ist er auch in der Lage, andere Malware und von Angreifern verwendete Werkzeuge herunterzuladen und auszuführen.

SamoRAT verwendet Anti-Analyse-Checks, um zu erkennen, wann es von AV-Systemen analysiert wird, und ermöglicht es ihm, sein Verhalten zu ändern, damit keine Alarme von der Antivirensoftware ausgelöst werden. Der Trojaner hat die Funktion, den Windows Defender-Prozess zu beenden und seine Funktionen durch Bearbeiten von Registern zu deaktivieren, um eine Erkennung zur Laufzeit zu vermeiden. Er ist auch in der Lage, PowerShell-Befehle auszuführen, um zusätzliche Funktionen des Windows Defender zu deaktivieren. SamoRAT erreicht Persistenz über geplante Aufgaben oder die Modifizierung von Windows-Registern (je nach Administratorrechten, um beim Start ausgeführt zu werden). Nachdem er einen ersten Zugriff erlangt hat, registriert sich die Malware beim Command-and-Control-Server, indem sie eine POST-Anfrage sendet, und macht anschließend eine weitere POST-Anfrage an die gleiche Adresse, um anzuzeigen, dass sie bereit ist, Befehle zu empfangen.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Persistenz

Techniken: Registrierungsschlüssel für Autostart / Autostart-Ordner (T1060)


Bereit, SOC Prime TDM auszuprobieren? Kostenlos anmelden. Oder am Threat-Bounty-Programm teilnehmen um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko