Contenido de Detección: Encontrando Actividad del Troyano Ursnif

La regla exclusiva ‘Inyección de Proceso por Ursnif (Dreambot Malware)’ de Emir Erdogan se publica en el Mercado de Detección de Amenazas: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

El troyano bancario Ursnif ha sido utilizado por adversarios en varias modificaciones durante unos 13 años, constantemente ganando nuevas características y adquiriendo nuevos trucos para evitar soluciones de seguridad. Su código fuente se filtró en 2014, y desde entonces Ursnif a menudo aparece en los gráficos de los 10 principales malwares, y varias modificaciones del troyano se usan en todo el mundo para robar información bancaria sensible y credenciales en el sistema infectado. Esta regla permite que su solución detecte Ursnif cuando se inyecta en el proceso maligno. Detectar el troyano en una etapa temprana evitará el robo de datos y determinar las credenciales que podrían estar comprometidas.

Emir Erdogan es uno de los participantes más activos del programa de desarrolladores de recompensas de amenazas de SOC Prime Programa de Desarrolladores de Bounties de Amenazas. Desde septiembre de 2019, ha publicado más de 100 reglas comunitarias y exclusivas que han llamado la atención de los usuarios de TDM debido a la alta calidad del contenido y la relevancia en seguridad.

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK®: 

Tácticas: Ejecución, Acceso a Credenciales, Evasión de Defensa, Escalada de Privilegios

Técnicas: Interfaz de Línea de Comandos (T1059), Credenciales en Archivos (T1081), Inyección de Proceso (T1055), Rundll32 (T1085)

Puede explorar otras tácticas utilizadas por el troyano bancario Ursnif en la sección MITRE ATT&CK® en el Mercado de Detección de Amenazas: https://tdm.socprime.com/att-ck/