Bedrohungsjagdregeln: Mögliche C2-Verbindung über DoH

Es ist ein Jahr her, seit der erste Malware zögerlich DNS-over-HTTPS (DoH) ausnutzte, um die IPs für die Command-and-Control-Infrastruktur abzurufen. Sicherheitsforscher hatten bereits gewarnt, dass dies ein ernstes Problem sein könnte und begannen nach einer Lösung zu suchen, die helfen würde, solch bösartigen Datenverkehr zu erkennen. Immer mehr verwendet DoH-Verkehr, weil dieses Protokoll von Chrome und Opera genutzt werden kann, und Mozilla hat diese Funktion bereits standardmäßig für US-Nutzer aktiviert.

Und jetzt ist bekannt, dass die iranische APT-Gruppe dieses Protokoll seit Mai 2020 in Cyber-Spionage-Kampagnen benutzt. Oilrig Gruppe (auch bekannt als APT34 oder Helix Kitten) ist seit etwa sechs Jahren aktiv und Sicherheitsforscher entdecken regelmäßig neue Werkzeuge, die mit dieser APT-Gruppe in Verbindung stehen. In den letzten Angriffen verwendeten sie ein neues Tool namens DNSExfiltrator bei Eindringversuchen in kompromittierte Netzwerke. Das Tool kann Daten zwischen zwei Punkten mit dem DNS-over-HTTPS-Protokoll übertragen, und Oilrig nutzt es, um Daten lateral durch interne Netzwerke zu bewegen und dann nach außen zu exfiltrieren. 

Eine neue exklusive Sigma-Regel, entwickelt von Roman Ranskyi, ermöglicht es Sicherheitslösungen, mögliche C2-Verbindungen über das DoH-Protokoll aufzudecken: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK: 

Taktiken: Command and Control

Techniken: Commonly Used Port (T1043), Standard Application Layer Protocol (T1071)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder teilnehmen am Threat Bounty Program , um eigenen Inhalt zu erstellen und mit der TDM-Community zu teilen.