Contenido de Caza de Amenazas: Botnet Devil Shadow

[post-views]
junio 01, 2020 · 2 min de lectura
Contenido de Caza de Amenazas: Botnet Devil Shadow

Hoy en día, durante el confinamiento, muchas organizaciones continúan usando Zoom a nivel corporativo para llevar a cabo reuniones conferenciales, a pesar de los problemas de seguridad encontrados en esta aplicación. Los atacantes han estado explotando la creciente popularidad de esta aplicación durante varios meses, y puede proteger parcialmente su organización de ataques mediante el endurecimiento del servicio de Zoom. Pero esto no resolverá completamente el problema, ya que los ciberdelincuentes pueden enviar enlaces a los usuarios con malware en lugar del instalador de Zoom, y ahora ocultan el malware en instaladores falsos, que ejecutan la versión legítima del instalador de Zoom para evitar sospechas. Tales instaladores son más grandes y se ejecutan más lentamente que un archivo legítimo, pero el usuario común probablemente no prestará atención. De esta manera, los atacantes ahora están distribuyendo Devil Shadow Botnet.

Utilizando este botnet, los ciberdelincuentes pueden espiar a las víctimas a través de la webcam, tomar capturas de pantalla y usar un módulo keylogger para recopilar credenciales y otra información sensible para los siguientes pasos del ataque.

Los participantes en el programa de recompensas por amenazas de SOC Prime Threat Bounty Program respondieron rápidamente a esta amenaza y publicaron dos reglas comunitarias de Sigma para descubrir rastros de Devil Shadow Botnet. Las reglas son bastante diferentes y cubren diferentes técnicas de MITRE ATT&CK.

Instalador Falso de ZOOM.exe (Devil Shadow Botnet) por Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet Oculto en Instaladores Falsos de Zoom por Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

Las reglas tienen traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Ejecución, Escalamiento de Privilegios, Acceso a Credenciales, Persistencia, Evasión de Defensa, Comando y Control

TĂ©cnicas: EjecuciĂłn de Usuario (T1204), Hooking (T1179), MĂłdulos y Extensiones del Kernel (T1215), InyecciĂłn de Procesos (T1055), Empaquetado de Software (T1045), Puerto Poco ComĂşn (T1065)

Más reglas para detectar ataques relacionados con Zoom: https://tdm.socprime.com/?searchValue=zoom

ÂżFue Ăştil este artĂ­culo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Ăšnase Gratis Reserve una ReuniĂłn

Publicaciones relacionadas

Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024
Blog, Plataforma SOC Prime — 4 min de lectura
Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024
Alla Yurchenko
SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Blog, Plataforma SOC Prime — 5 min de lectura
SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Alla Yurchenko
El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT
Blog, Ăšltimas Amenazas — 3 min de lectura
El Grupo Lazarus Resurge, Explotando la Vulnerabilidad de Log4j y Diseminando MagicRAT
Anastasiia Yevdokimova