Reglas de Caza de Amenazas: Redaman RAT

Hoy, en la categoría de Reglas de Caza de Amenazas, nos complace presentarle una nueva regla desarrollada por Ariel Millahuel, que detecta Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redaman es una forma de troyano bancario distribuido por campañas de phishing. Se vio por primera vez en 2015 y se informó como el troyano bancario RTM, nuevas versiones de Redaman aparecieron en 2017 y 2018.  En septiembre de 2019, investigadores identificaron una nueva versión de este malware que utiliza una técnica nunca antes vista para ocultar direcciones IP del servidor C&C Pony dentro del blockchain de Bitcoin: el troyano se conecta a la blockchain de Bitcoin y encadena transacciones para encontrar el servidor C&C oculto.

Una versión recientemente descubierta del troyano Radaman muestra un nuevo comportamiento. Está relacionada con la modificación de certificados raíz y el abuso de la ejecución de rundll32 para desplegar archivos maliciosos. Este malware se utiliza a menudo en campañas de malspam, y por lo tanto, sus autores lo mejoran constantemente y le enseñan nuevos trucos.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución, Evasión de Defensas, Persistencia, Escalación de Privilegios

Técnicas: Instalar Certificado Raíz (T1130), Tarea Programada (T1053)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.