Contenu de Détection : Repérer l’Activité du Cheval de Troie Ursnif

La règle exclusive « Injection de processus par Ursnif (Malware Dreambot) » d’Emir Erdogan est publiée sur le Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

Le cheval de Troie bancaire Ursnif a été utilisé par des adversaires dans diverses modifications pendant environ 13 ans, gagnant constamment de nouvelles fonctionnalités et acquérant de nouvelles astuces pour éviter les solutions de sécurité. Son code source a été divulgué en 2014, et depuis lors Ursnif se retrouve souvent dans le top 10 des classements de logiciels malveillants, et diverses modifications du cheval de Troie sont utilisées dans le monde entier pour voler des informations bancaires sensibles et des identifiants sur le système infecté. Cette règle permet à votre solution de détecter Ursnif lorsqu’il s’injecte dans le processus malveillant. Détecter le cheval de Troie à un stade précoce empêchera le vol de données et déterminera les identifiants qui pourraient être compromis.

Emir Erdogan est l’un des participants les plus actifs du programme de développement Threat Bounty de SOC Prime. Depuis septembre 2019, il a publié 100+ règles communautaires et exclusives qui ont attiré l’attention des utilisateurs de TDM en raison de la haute qualité du contenu et de sa pertinence en matière de sécurité.

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK®: 

Tactiques : Exécution, Accès aux identifiants, Evasion des défenses, Escalade de privilèges

Techniques : Interface en ligne de commande (T1059), Identifiants dans les fichiers (T1081), Injection de processus (T1055), Rundll32 (T1085)

Vous pouvez explorer d’autres tactiques utilisées par le cheval de Troie bancaire Ursnif dans la section MITRE ATT&CK® sur le Threat Detection Marketplace : https://tdm.socprime.com/att-ck/