Contenido de Caza de Amenazas: CertReq.exe Lolbin

Los binarios Living off the Land (Lolbins) son binarios legítimos que los adversarios avanzados a menudo utilizan incorrectamente para realizar acciones más allá de su propósito original. Los ciberdelincuentes los utilizan activamente para descargar malware, garantizar la persistencia, la exfiltración de datos, el movimiento lateral y más. Justo ayer escribimos sobre una regla que detecta ataques del grupo Evil Corp, que también utiliza Lolbins para desplegar el ransomware WastedLocker en el máximo número de sistemas en las organizaciones.

CertReq.exe está presente en Windows y su uso previsto es ayudar con la creación e instalación de certificados. No es uno de los Lolbins que es explotado en exceso por los ciberdelincuentes, pero se puede usar para realizar acciones maliciosas sin atraer la atención de las soluciones de seguridad. Los ciberdelincuentes pueden usar CertReq.exe para cargar y descargar archivos pequeños. Se puede usar para cargar un archivo a través de HTTP POST, descargar un archivo a través de HTTP POST y guardarlo en disco o mostrar su contenido. Puede leer más sobre la explotación de CertReq.exe aquí.

Den Iuzvik desarrolló y lanzó una nueva regla Sigma de caza de amenazas que detecta posibles cargas/descargas de archivos con CertReq.exe: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Comando y Control

Técnicas: Copia Remota de Archivos (T1105)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.