Bedrohungsjagd-Inhalte: Bladabindi-Hintertür aufdecken

Die Bladabindi-Hintertür ist mindestens seit 2013 bekannt. Ihre Autoren überwachen Cybersecurity-Trends und verbessern die Hintertür, um deren Entdeckung zu verhindern: Sie kompilieren, aktualisieren und hashen sie neu, sodass IOCs-basierte Erkennung fast nutzlos ist. Im Jahr 2018 wurde die Bladabindi-Hintertür dateilos und als sekundärer Payload verwendet, der durch die njRAT / Njw0rm-Malware ausgeliefert wurde. Die Hintertür infiziert USB-Laufwerke, um sich über die angegriffenen Organisationen zu verbreiten. Gegner verwenden Bladabindi, um sensible Daten zu stehlen, zusätzliche Werkzeuge herunterzuladen und auszuführen und Anmeldedaten zu sammeln. Sie wird auch als Hintertür und Keylogger eingesetzt.

Ariel Millahuel erstellte die Threat Hunting Sigma-Regel basierend auf aktuellen Erkenntnissen, um Merkmale dieser Malware zu erkennen und veröffentlichte sie auf dem Threat Detection Marketplace. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

Ariel ist einer der aktivsten Mitwirkenden des Developer Program, der unter den Top 10 Content-Autoren dieses Monats ist. Im April veröffentlichte er über 50 Sigma-Regeln zur Erkennung von APT-Gruppen-Aktivitäten und diversen Malware, die in jüngsten Angriffen verwendet wurden.

Interview mit Ariel Millahuel: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Entdecken Sie die von Ariel eingereichten Inhalte: https://tdm.socprime.com/?authors=ariel+millahuel

Threat Detection wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Ausführung, Verteidigungsumgehung 

Techniken: Command-Line Interface (T1059), Disabling Security Tools (T1089), Modify Registry (T1112)