Contenido de Detección: Comportamiento de GoldenHelper

Esta semana no destacaremos ninguna regla en la sección «Regla de la Semana», porque las reglas más candentes ya fueron publicadas en el digest especial dedicado a las reglas que detectan la explotación de una vulnerabilidad crítica en los servidores DNS de Windows, CVE-2020-1350 (también conocido como SIGRed).

La publicación de hoy está dedicada a la detección del malware GoldenHelper que estaba incrustado en software oficial.  Los adversarios ocultaron el malware en el Software de Facturación del Impuesto Dorado (Edición Baiwang), requerido por los bancos chinos para el pago del IVA. El malware GoldenHelper utiliza técnicas sofisticadas para ocultar su entrega, presencia y actividad. Algunas de las técnicas interesantes que utiliza GoldenHelper incluyen la aleatorización del nombre durante el tránsito, la aleatorización de la ubicación del sistema de archivos, la alteración de marcas de tiempo, IP basada en DGA (Algoritmo de Generación de Dominio), elusión de UAC y escalada de privilegios. Las versiones descubiertas de GoldenHelper fueron firmadas digitalmente por NouNou Technologies y diseñadas para dejar caer una carga útil final. Los investigadores creen que la campaña para distribuir este malware ya ha terminado, pero los atacantes aún pueden usar la carga útil final instalada en sistemas comprometidos, por lo que se recomienda verificar los registros en busca de rastros del malware GoldenHelper. La nueva regla de Ariel Millahuelestá diseñada no solo para encontrar rastros del malware GoldenHelper sino también de la carga útil final instalada: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Evasión de Defensa

Técnicas: Modificar Registro (T1112)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.