Contenido de Caza de Amenazas: Descubrir la Puerta Trasera Bladabindi

El backdoor Bladabindi se conoce desde al menos 2013, sus autores monitorean las tendencias de ciberseguridad y mejoran el backdoor para evitar su detección: lo recompilan, actualizan y rehash, por lo que el contenido de detección basado en IOCs es casi inútil. En 2018, el backdoor Bladabindi se volvió fileless y se utilizó como una carga secundaria entregada por el malware njRAT / Njw0rm. El backdoor infecta las unidades USB para propagarse a través de las organizaciones atacadas. Los adversarios usan Bladabindi para robar datos sensibles, descargar y ejecutar herramientas adicionales, y recopilar credenciales, también se utiliza como backdoor y keylogger.

Ariel Millahuel creó la regla de Sigma para Caza de Amenazas basada en hallazgos recientes para detectar características de este malware y la lanzó en Threat Detection Marketplace. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

Ariel es uno de los contribuyentes más activos del Programa de Desarrolladores, quien lidera el top 10 de autores de contenido de este mes. En abril, publicó más de 50 reglas Sigma para detectar la actividad de grupos APT y varios tipos de malware utilizados en ataques recientes.

Entrevista con Ariel Millahuel: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Explorar el contenido enviado por Ariel: https://tdm.socprime.com/?authors=ariel+millahuel

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Ejecución, Evasión de Defensa 

Técnicas: Interfaz de Línea de Comandos (T1059), Deshabilitar Herramientas de Seguridad (T1089), Modificar Registro (T1112)