Reglas de Caza de Amenazas: Ave Maria RAT

El artículo de hoy es en cierto modo una continuación de Contenido de Detección: Arkei Stealer ya que el autor de la regla de detección para Ave Maria RAT es el mismo, y ambas herramientas maliciosas se han estado propagando activamente recientemente utilizando el Botnet de Spamhaus. 

Ave Maria es un Troyano de Acceso Remoto que a menudo es utilizado por adversarios para tomar el control de los sistemas infectados y habilitarlos con capacidades de control remoto. El troyano fue observado por primera vez siendo distribuido a través de campañas de phishing maliciosas en 2018 y su presencia en los sistemas infectados ha ido en aumento desde entonces. El Ave Maria RAT está armado con más funciones que el típico troyano espía. Utiliza la omisión de UAC y los tokens de proceso para elevar sus privilegios. Una vez que lo hace, ejecutará un cmdlet de PowerShell para modificar la configuración de Windows Defender y excluir rutas específicas del escaneo en tiempo real. 

La regla Sigma recientemente publicada por Lee Archinal permite a las soluciones de seguridad detectar nuevas instancias del malware Ave Maria en sistemas Windows: https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Persistencia

Técnicas: Claves de Registro de Ejecución / Carpeta de Inicio (T1060)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensa de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.