Contenido de Caza de Amenazas: Comportamiento de SamoRAT

Hoy en la sección de Contenido de Caza de Amenazas, queremos prestar atención a la regla comunitaria lanzada en el Mercado de Detección de Amenazas por Ariel Millahuel que detecta muestras frescas del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Este troyano de acceso remoto apareció en los radares de investigadores recientemente, las primeras muestras de SamoRAT se descubrieron hace aproximadamente un mes. El troyano es un malware basado en .NET que es utilizado principalmente por ciberdelincuentes para recibir y ejecutar diferentes comandos en el sistema infectado. Al igual que otros troyanos de acceso remoto, también es capaz de descargar y ejecutar otros malware y herramientas utilizadas por los adversarios.

SamoRAT emplea el uso de controles de anti-análisis para detectar cuando está siendo analizado por sistemas de AV, lo que le permite cambiar su comportamiento para que no se activen alarmas por el software antivirus. El troyano tiene la funcionalidad de detener el proceso de Windows Defender y deshabilitar sus características editando registros para evitar la detección en tiempo de ejecución. También es capaz de ejecutar comandos de PowerShell para deshabilitar características adicionales de Windows Defender. SamoRAT logra persistencia a través de tareas programadas o modificación de registros de Windows (dependiendo de los privilegios de administrador para ejecutarse al inicio). Después de ganar terreno, el malware se registra en el servidor de comando y control enviando una solicitud POST y luego realiza una solicitud POST más a la misma dirección indicando que está listo para recibir comandos.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Persistencia

Técnicas: Claves de Ejecución en el Registro / Carpeta de Inicio (T1060)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.