Détection de Nanocore RAT

Nanocore RAT a été utilisé dans des cyberattaques pendant environ 7 ans, et il existe un grand nombre de modifications de ce trojan. Des versions officielles, « semi-officielles » et piratées de ce malware sont vendues sur des forums du DarkNet, et parfois même offertes gratuitement, il n’est donc pas surprenant que le nombre d’attaques utilisant ce logiciel reste élevé. 

La conception de Nanocore RAT est axée sur la facilité d’utilisation, ce qui permet même à des adversaires non qualifiés de mener des campagnes malveillantes complètes. Le trojan dispose d’un large éventail de capacités pour l’espionnage et le contrôle à distance du système, offrant un accès complet au système infecté, et permettant également aux adversaires d’enregistrer de l’audio et de la vidéo, d’effectuer des enregistrements de frappe, de collecter des identifiants et d’autres informations personnelles.

NanoCore RAT est livré avec des plugins de base qui étendent les capacités du malware et permettent aux acteurs de la menace de faire à peu près tout ce qu’ils veulent une fois qu’ils ont acquis un contrôle anonyme complet sur les systèmes infectés. 

La règle exclusive Sigma « NanoCore detection » est l’une des toutes premières contributions d’Aytek Aytemur qui a récemment rejoint le Threat Bounty Program : https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1

La règle est traduite pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Persistance, Escalade de privilèges

Techniques : Tâche planifiée (T1053)

Consultez plus de contenu des développeurs du Threat Bounty Program pour repérer NanoCore :

NanoCore Rat Detection (Persistance via schtasks) par Emir Erdogan

Comportement Nanocore (Détection Powershell) par Ariel Millahuel

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.