Resumen de Reglas: CobaltStrike, APT10 y APT41

[post-views]
julio 18, 2020 · 3 min de lectura
Resumen de Reglas: CobaltStrike, APT10 y APT41

Nos complace presentarle el Resumen de Reglas, que consiste en reglas desarrolladas únicamente por el equipo de SOC Prime. Esta es una especie de selección temática ya que todas estas reglas ayudan a encontrar actividad maliciosa de grupos APT vinculados al gobierno chino y la herramienta CobaltStrike, frecuentemente utilizada por estos grupos en campañas de ciberespionaje.

Pero antes de pasar directamente al Resumen de Reglas, queremos llamar su atención sobre una vulnerabilidad crítica en los Servidores DNS de Windows, CVE-2020-1350 (también conocida como SIGRed) y contenido de búsqueda de amenazas para detectar su explotación. Puede leer nuestro resumen de reglas especial dedicado a tal contenido aquí: https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

La regla de posibles nombres de archivo de CobaltStrike PsExec (a través de auditoría) permite que las soluciones de seguridad identifiquen rápidamente el comportamiento de psexec de CobaltStrike basado en su predecible esquema de nombres de servicio pseudoaleatorio. CobaltStrike utiliza ejecutables con 7 caracteres alfanuméricos aleatorios por defecto (es decir, 28a3fe2.exe). CobaltStrike es utilizado a menudo por el grupo APT41, pero muchos otros actores de amenazas también usan esta herramienta, por lo que la regla comunitaria será útil en casi todas las organizaciones: https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

Espere el prĂłximo resumen en una semana.

¡Manténgase seguro!

Las siguientes dos reglas son para detectar la actividad del grupo APT41. Este grupo utiliza múltiples familias de malware para mantener el acceso a este entorno, y en campañas observadas usaron la herramienta ACEHASH en casos cuando Mimikatz falló. ACEHASH es una utilidad de robo de credenciales y volcado de contraseñas que combina la funcionalidad de múltiples herramientas como Mimikatz, hashdump, y Windows Credential Editor. La regla de posible uso de ACEHASH de APT41 (a través de cmdline) coincide con instancias de su uso anterior de ACEHASH como un módulo encriptado: https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

 

APT41 utiliza frecuentemente la utilidad pública disponible WMIEXEC para moverse lateralmente a través de un entorno. WMIEXEC es una herramienta que permite la ejecución de comandos WMI en máquinas remotas. La regla de posible uso de WMIEXEC de APT41 (a través de cmdline) detecta una versión personalizada de WMIEXEC de impacket utilizada por este actor: https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

 

Y las dos últimas reglas ayudan a detectar la actividad de otro grupo chino, APT10 (también conocido como menuPass), en la red de una organización. APT10 es un grupo de ciberespionaje chino que ha estado activo desde 2009. Históricamente han apuntado a empresas de construcción e ingeniería, aeroespacial, telecomunicaciones y gobiernos en los Estados Unidos, Europa y Japón.

En campañas anteriores, los atacantes dejaron archivos TXT utilizando macros maliciosas, y luego la misma macro decodificó los archivos dejados usando Windows certutil.exe y creó una copia de los archivos con sus extensiones correctas usando las Utilidades de Motor de Almacenamiento Extensible (esentutil.exe). La regla de posible TTP de menuPass .TXT en base de directorios inusuales (a través de cmdline) puede descubrir tal actividad para detener el ataque: https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1


Y la última regla de hoy ayuda a detectar cuando este actor de amenazas usa «proxyconnect» como herramienta para hacer proxy de RDP. La regla de posible herramienta de hackeo proxyconnect de menuPass (a través de cmdline) está disponible aquí: https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

 

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: EjecuciĂłn, Acceso a Credenciales, ColecciĂłn 

TĂ©cnicas: EjecuciĂłn de Servicios (T1569), Volcado de Credenciales (T1003), PowerShell (T1086), Datos Etapas (T1074)

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn