Règle IOC : Cheval de Troie Bancaire Grandoreiro

Un article récemment publié « SIGMA vs Indicateurs de Compromis » par Adam Swan, notre ingénieur principal en recherche des menaces démontre les avantages des règles de chasse aux menaces Sigma par rapport au contenu basé sur les IOCs. Bien que nous ne puissions pas écarter les règles Sigma des IOCs, car elles peuvent aider à identifier un fait de compromis, de plus, tous les adversaires ne modifient pas rapidement leur malware, et donc de telles règles peuvent détecter une menace pendant longtemps. Aujourd’hui, nous examinons l’une de ces règles – le cheval de Troie bancaire Grandoreiro par Emir Erdogan : https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro est l’un des nombreux chevaux de Troie bancaires utilisés contre des cibles en Amérique latine. La première mention de ce malware est apparue en 2017 lorsque les attaquants l’ont distribué uniquement au Pérou et au Brésil, mais les cybercriminels ont rapidement élargi la géographie des attaques, ajoutant l’Espagne et le Mexique à la liste des cibles. Le cheval de Troie Grandoreiro est distribué via des e-mails de spam contenant un lien vers un site proposant de fausses mises à jour Java ou Flash. Depuis le début de la pandémie, les attaquants ont activement exploité la peur autour de la COVID-19 dans leurs campagnes.

La détection de menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Exécution, Escalade de Privilèges, Évasion de la Défense, Persistance

Techniques : Exécution par Chargement de Module (T1129), Injection de Processus (T1055), Clés de Registre / Dossier de Démarrage (T1060)

Le cheval de Troie abuse de MsiExec.exe et nous proposons plusieurs règles pour détecter un tel comportement :

Répertoire MsiExec suspect par Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

Installation Web MsiExec par Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) par Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Contournement de Msiexec.exe et Mavinject.exe (LolBins) par Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Manipulation de Msiexec pour établir une communication avec un serveur c2 par Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/