Contenido de Detección: Troyano Floxif

[post-views]
mayo 14, 2020 · 2 min de lectura
Contenido de Detección: Troyano Floxif

El troyano Floxif es conocido principalmente por ser utilizado por el grupo Winnti, lo distribuyeron con el CCleaner infectado, que fue descargado por usuarios desde el sitio oficial. El ataque ocurrió en septiembre de 2017, supuestamente los atacantes obtuvieron acceso al entorno de construcción de CCleaner. El troyano Floxif se utilizó junto con el troyano Nyetya para recopilar información sobre los sistemas infectados y entregar la siguiente carga útil en etapa. Durante ese ataque, los ciberdelincuentes estaban interesados en las mayores compañías tecnológicas, incluyendo Google y Microsoft. Desde entonces, el troyano ha sido utilizado más de una vez en ataques, una de sus habilidades distintivas es la modificación de archivos legítimos convirtiéndolos en puertas traseras. Además, el troyano puede descargar malware adicional, ejecutar varios archivos .exe y neutralizar soluciones antimalware instaladas. Ariel MillahuelLa nueva regla de permite detectar Floxif durante la instalación y responder a una amenaza antes de que se cause un daño serio: https://tdm.socprime.com/tdm/info/KpSB21CgFObY/nYyRCHIB1-hfOQirvSY3/?p=1

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness, Sumo Logic

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tácticas: Acceso a Credenciales, Acceso Inicial, Ejecución

Técnicas: Credenciales en Archivos (T1081), Ejecución mediante Carga de Módulo (T1129)

Puedes explorar las tácticas utilizadas por el grupo Winnti en la sección MITRE ATT&CK en Threat Detection Marketplace:  https://tdm.socprime.com/att-ck/

También recomendamos otra regla Sigma de Ariel Millahuel para detectar las campañas del grupo Winnti: https://tdm.socprime.com/tdm/info/btjlkBTjI66s/-otFoXEB1-hfOQirV9bj/

Y la regla YARA de Emanuele De Lucia – APT41 / Wicked Panda / Grupo 72 / Winnti Group YARA Malware Pack: https://tdm.socprime.com/tdm/info/Su15QW8GgK8m/xuZQy3EBv8lhbg_iWY1s/#xuZQy3ivi1vybywybvi

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko