Reglas de Búsqueda de Amenazas: Posible Conexión C2 mediante DoH

Ha pasado un año desde que el primer malware explotó tímidamente DNS-over-HTTPS (DoH) para recuperar las IPs de la infraestructura de comando y control. Los investigadores de seguridad ya habían advertido que esto podría ser un problema serio y empezaron a buscar una solución que ayudara a detectar dicho tráfico malicioso. Más y más malware ha estado cambiando al tráfico DoH porque este protocolo puede ser utilizado por Chrome y Opera, y Mozilla ya ha habilitado esta función por defecto para los usuarios de EE.UU.

Y ahora se sabe que el grupo APT iraní utiliza este protocolo en campañas de ciberespionaje desde mayo de 2020. Oilrig grupo (también conocido como APT34 o Helix Kitten) opera desde hace unos seis años y los investigadores de seguridad están encontrando regularmente nuevas herramientas relacionadas con este grupo APT. En ataques recientes, utilizaron una nueva herramienta denominada DNSExfiltrator durante intrusiones en redes comprometidas. La herramienta puede transferir datos entre dos puntos usando el protocolo DNS-over-HTTPS y Oilrig la usa para mover datos lateralmente a través de redes internas y luego exfiltrarlos a un punto externo. 

Nueva regla Sigma exclusiva desarrollada por Roman Ranskyi que permite a las soluciones de seguridad descubrir posibles conexiones C2 a través del protocolo DoH: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK: 

Tácticas: Comando y Control

Técnicas: Puerto Comúnmente Usado (T1043), Protocolo Estándar de Capa de Aplicación (T1071)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas para Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.