Contenido de Caza de Amenazas para Detectar Rastros de Buer Loader

Nueva regla comunitaria de Ariel Millahuel que habilita la detección de Buer loader está disponible en el Mercado de Detección de Amenazas: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer es un cargador modular que se detectó por primera vez a finales del verano pasado y desde entonces este malware ha sido promovido activamente en los mercados clandestinos. Los investigadores de Proofpoint rastrearon múltiples campañas propagando Buer loader, se distribución por correos electrónicos de phishing con archivos adjuntos maliciosos y kits de explotación. El malware está escrito en C, se ejecuta completamente en la memoria residente y puede infectar tanto sistemas Windows de 32 como de 64 bits. El cargador Buer se comunica a través de HTTPS, y es bastante popular debido a sus capacidades de anti-análisis. Las capacidades del malware son similares a Smoke Loader que se mencionó en nuestro pasado Rule Digest: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel es el autor de alrededor de 200 reglas Sigma exclusivas y comunitarias. Se unió al Programa de Recompensas por Amenazas en el otoño de 2019 y desde entonces ha estado involucrado activamente en el desarrollo de la comunidad. La entrevista con Ariel está publicada en nuestro sitio web: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

La Detección de Amenazas se admite para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Persistencia

Técnicas: Claves de Registro de Ejecución / Carpeta de Inicio (Е1060), DLL de Ayuda de Winlogon (Е1004)