Digest des Règles : CobaltStrike, APT10 et APT41

[post-views]
juillet 18, 2020 · 4 min de lecture
Digest des Règles : CobaltStrike, APT10 et APT41

Nous sommes ravis de vous présenter le Digest des Règles, qui se compose uniquement de règles développées par l’équipe SOC Prime. C’est une sorte de sélection thématique puisque toutes ces règles permettent de détecter les activités malveillantes des groupes APT liés au gouvernement chinois et l’outil CobaltStrike souvent utilisé par ces groupes dans les campagnes de cyberespionnage.

Mais avant de passer directement au Digest des Règles, nous souhaitons attirer votre attention sur une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed) et le contenu de la chasse aux menaces pour détecter son exploitation. Vous pouvez lire notre digest de règles spécial dédié à ce type de contenu ici : https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

La règle Possible CobaltStrike PsExec filenames (via audit) permet aux solutions de sécurité d’identifier rapidement le comportement de psexec de CobaltStrike basé sur son schéma de nommage pseudo-aléatoire prévisible des services. Par défaut, CobaltStrike utilise des exécutables avec 7 caractères alphanumériques aléatoires (c’est-à-dire 28a3fe2.exe). CobaltStrike est souvent utilisé par le groupe APT41, mais de nombreux autres acteurs de la menace utilisent également cet outil, donc la règle communautaire sera utile dans presque toutes les organisations : https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

Attendez le prochain digest dans une semaine.

Restez en sécurité !

Les deux règles suivantes permettent de détecter l’activité du groupe APT41. Ce groupe utilise plusieurs familles de malware pour maintenir l’accès à cet environnement, et dans les campagnes observées, ils ont utilisé l’outil ACEHASH lorsque Mimikatz échouait. ACEHASH est un utilitaire de vol de crédentials et de dump de mots de passe qui combine la fonctionnalité de plusieurs outils tels que Mimikatz, hashdump et Windows Credential Editor. La règle Possible APT41 ACEHASH usage (via cmdline) correspond aux instances de leur utilisation précédente d’ACEHASH en tant que module crypté : https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

 

APT41 utilise fréquemment l’utilitaire disponible publiquement WMIEXEC pour se déplacer latéralement dans un environnement. WMIEXEC est un outil qui permet l’exécution de commandes WMI sur des machines distantes. La règle Possible APT41 WMIEXEC Usage (via cmdline) détecte une version personnalisée de WMIEXEC issue d’impacket utilisée par cet acteur : https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

 

Et les deux dernières règles aident à détecter l’activité d’un autre groupe chinois, APT10 (alias menuPass), dans le réseau d’une organisation. APT10 est un groupe chinois de cyberespionnage actif depuis 2009. Ils ont historiquement ciblé les entreprises de construction et d’ingénierie, d’aérospatiale, de télécommunications, et les gouvernements aux États-Unis, en Europe, et au Japon.

Dans les campagnes précédentes, les attaquants ont déposé des fichiers TXT en utilisant une macro malveillante, puis la même macro a décodé les fichiers déposés en utilisant Windows certutil.exe et créé une copie des fichiers avec leurs extensions appropriées en utilisant les Utilitaires de Stockage Extensible (esentutil.exe). La règle Possible menuPass TTP .TXT dans des répertoires inhabituels (via cmdline) peut découvrir une telle activité pour arrêter l’attaque : https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1


Et la dernière règle pour aujourd’hui aide à détecter quand cet acteur de la menace utilise « proxyconnect » comme outil pour le proxy RDP. La règle Possible menuPass Hacktool proxyconnect (via cmdline) est disponible ici : https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

 

Les règles ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Exécution, Accès aux crédentials, Collecte 

Techniques : Exécution de Service (T1569), Vol d’identifiants (T1003), PowerShell (T1086), Données Stockées (T1074)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion