Threat Hunting Regeln: Ave Maria RAT

Der heutige Artikel ist gewissermaßen eine Fortsetzung von Detection Content: Arkei Stealer da der Autor der Erkennungsregel für Ave Maria RAT derselbe ist und beide bösartigen Tools kürzlich aktiv über das Spamhaus-Netzwerk verbreitet wurden. 

Ave Maria ist ein Remote Access Trojaner, der oft von Angreifern verwendet wird, um die infizierten Systeme zu übernehmen und sie mit Fernsteuerungsmöglichkeiten auszustatten. Der Trojaner wurde erstmals 2018 in bösartigen Phishing-Kampagnen verbreitet beobachtet und seine Präsenz auf infizierten Systemen nimmt seither zu. Der Ave Maria RAT ist mit mehr Funktionen als der typische Trojaner-Spy ausgestattet. Er nutzt UAC-Umgehung und Prozesstoken, um seine Privilegien zu erhöhen. Sobald dies geschehen ist, wird er ein PowerShell-Cmdlet ausführen, um die Einstellungen von Windows Defender zu ändern und bestimmte Pfade von der Echtzeitüberprüfung auszuschließen. 

Die kürzlich veröffentlichte Sigma-Regel von Lee Archinal ermöglicht Sicherheitslösungen, frische Instanzen von Ave Maria Malware auf Windows-Systemen zu erkennen: https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Persistenz

Techniken: Registry Run Keys / Startup Folder (T1060)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder trete dem Threat Bounty Programm bei um eigene Inhalte zu erstellen und sie mit der TDM-Community zu teilen.