Contenu de Détection : Comportement de GoldenHelper

Cette semaine, nous ne mettrons en avant aucune règle dans la section « Règle de la semaine », car les règles les plus intéressantes ont déjà été publiées dans le digest spécial d’hier, dédié aux règles détectant l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed).

La publication d’aujourd’hui est dédiée à la détection du malware GoldenHelper qui était intégré dans un logiciel officiel. Les adversaires ont caché le malware dans le logiciel de facturation Golden Tax (édition Baiwang), requis par les banques chinoises pour le paiement des taxes TVA. Le malware GoldenHelper utilise des techniques sophistiquées pour dissimuler sa distribution, sa présence et son activité. Certaines des techniques intéressantes que GoldenHelper utilise incluent la randomisation du nom en cours de transit, la randomisation de l’emplacement du système de fichiers, le timestomping, le DGA (Domain Generation Algorithm) basé sur IP, le contournement UAC et l’escalade de privilèges. Les versions découvertes de GoldenHelper ont été signées numériquement par NouNou Technologies et conçues pour déposer une charge finale. Les chercheurs croient que la campagne de distribution de ce malware est déjà terminée, mais les attaquants peuvent encore utiliser la charge finale installée sur les systèmes compromis, il est donc recommandé de vérifier les journaux pour détecter des traces du malware GoldenHelper. La nouvelle règle d’Ariel Millahuelest conçue non seulement pour trouver des traces du malware GoldenHelper mais aussi la charge finale installée : https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Évasion de la défense

Techniques : Modifier le registre (T1112)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.