Hoy en la sección de la Regla de la Semana queremos destacar una nueva regla de caza de amenazas de Ariel Millahuel que ayuda a detectar muestras del Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1
Bunitu Trojan se utiliza para convertir sistemas infectados en un proxy para clientes remotos. Sus acciones maliciosas pueden ralentizar el tráfico de la red, y los adversarios a menudo lo usan como herramienta para redirigir las direcciones IP de las máquinas infectadas y usarlas indebidamente con fines maliciosos. Una vez que un ordenador está infectado, Bunitu Trojan abre puertos para las conexiones remotas, registra la máquina comprometida en la base de datos enviando información sobre su dirección y puertos abiertos y luego acepta conexiones en los puertos expuestos.
Los adversarios pueden usar el sistema infectado en la red de la organización en diferentes esquemas fraudulentos debido al hecho de que la IP de la máquina infectada es la que es visible desde el exterior. Los operadores de Bunitu Trojan anteriormente lo distribuían a menudo utilizando Kits de Explotación, incluyendo el notorio RIG EK, que todavía está activo y pone en peligro la seguridad de las redes corporativas donde es difícil realizar un parcheo oportuno.
Los autores de malware no suelen hacer cambios drásticos en este troyano, pero el empaquetado utilizado, compuesto por muchas capas, permite que Bunitu Trojan permanezca sin ser detectado por mucho tiempo, por lo que usar la regla de la comunidad de Ariel Millahuel ayudará a identificar el troyano en la red de la organización de manera oportuna.
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Ejecución, Persistencia
Técnicas: Ejecución mediante Carga de Módulo (T1129), Claves de Registro de Ejecución/Iniciar Carpeta (T1060)
