Contenido de Caza de Amenazas: Detección de AsyncRat

[post-views]
junio 03, 2020 · 2 min de lectura
Contenido de Caza de Amenazas: Detección de AsyncRat

Hoy, bajo la columna de Contenido de Búsqueda de Amenazas estamos aumentando su interés en la Detección de AsyncRAT (Comportamiento Sysmon) regla comunitaria por Emir Erdogan. La regla permite la detección de AsyncRat utilizando registros de sysmon.

Según el autor del proyecto en GitHub, AsyncRat es una Herramienta de Acceso Remoto diseñada para monitorear y controlar remotamente otras computadoras a través de una conexión segura y encriptada que fue creada solo con fines educativos. La página del proyecto incluso tiene un Descargo de Responsabilidad Legal que prohíbe el uso de esta herramienta para fines maliciosos, pero ¿cuándo ha detenido eso a los atacantes? 

El código de AsyncRAT está disponible públicamente en la página de GitHub y puede servir como una herramienta muy amenazante en manos de actores de amenazas experimentados. No es muy diferente de la mayoría de los troyanos de acceso remoto, pero su código está disponible públicamente, e incluso un ciberdelincuente sin habilidades puede usarlo en ataques, y atacantes más experimentados pueden crear su propio malware basado en código de fuente abierta. 

Los adversarios pueden usar AsyncRat para robar credenciales y otros datos sensibles, grabar video y audio, recolectar información de servicios de mensajería, navegadores web y clientes FTP. Además, la herramienta es capaz de descargar y subir archivos en el sistema infectado, por lo que puede desplegar malware adicional para el ataque avanzado.

El contenido de búsqueda de amenazas que detecta esta «Herramienta de Acceso Remoto» está disponible en el Marketplace de Detección de Amenazas: https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Evasión de Defensa, Escalamiento de Privilegios, Persistencia, Ejecución

Técnicas: Firmado de Código (T1116), Inyección de Procesos (T1055), Claves de Registro Run / Carpeta de Inicio (T1060), Tarea Programada (T1053)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024
Blog, Plataforma SOC Prime — 4 min de lectura
Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024
Alla Yurchenko
SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Blog, Plataforma SOC Prime — 5 min de lectura
SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Alla Yurchenko
El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT
Blog, Últimas Amenazas — 3 min de lectura
El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT
Anastasiia Yevdokimova