Bedrohungsjagd-Inhalte zur Entdeckung von Spuren des Buer Loaders

Eine neue Community-Regel von Ariel Millahuel, die das Erkennen des Buer-Loaders ermöglicht, ist im Threat Detection Marketplace verfügbar: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer ist ein modularer Loader, der erstmals Ende letzten Sommers entdeckt wurde. Seitdem wird diese Malware aktiv in Untergrund-Marktplätzen beworben. Forscher von Proofpoint verfolgten mehrere Kampagnen, die den Buer-Loader verbreiteten. Er wurde durch Phishing-E-Mails mit schädlichen Anhängen und Exploit-Kits verbreitet. Die Malware ist in C geschrieben, läuft vollständig im Arbeitsspeicher und kann sowohl 32-Bit- als auch 64-Bit-Windows-Systeme infizieren. Der Buer-Loader kommuniziert über HTTPS und ist aufgrund seiner Anti-Analyse-Fähigkeiten recht populär. Die Fähigkeiten der Malware ähneln dem Smoke Loader, der in unserem früheren Rule Digest erwähnt wurde: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel ist der Autor von rund 200 exklusiven und Community-Sigma-Regeln. Er trat dem Threat Bounty Program im Herbst 2019 bei und ist seitdem aktiv an der Community-Entwicklung beteiligt. Das Interview mit Ariel ist auf unserer Website veröffentlicht: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Threat Detection wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Beständigkeit

Techniken: Registry Run Keys / Startup-Ordner (Е1060), Winlogon Helper DLL (Е1004)