Règle de la Semaine : Cheval de Troie Bunitu

Aujourd’hui dans la section Règle de la semaine, nous voulons mettre en avant une nouvelle règle de chasse aux menaces d’Ariel Millahuel qui aide à détecter les échantillons de Bunitu Proxy Trojan : https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

Le Trojan Bunitu est utilisé pour transformer des systèmes infectés en proxy pour les clients distants. Ses actions malveillantes peuvent ralentir le trafic réseau, et les adversaires l’utilisent souvent comme un outil pour réacheminer les adresses IP des machines infectées et les détourner à des fins malveillantes. Une fois qu’un ordinateur est infecté, le Trojan Bunitu ouvre des ports pour les connexions distantes, inscrit la machine compromise dans la base de données en envoyant des informations sur son adresse et les ports ouverts, puis accepte les connexions sur les ports exposés.

Les adversaires peuvent utiliser le système infecté dans le réseau de l’organisation dans différents schémas frauduleux en raison du fait que l’IP de la machine infectée est celle visible de l’extérieur. Les opérateurs de Bunitu Trojan l’ont souvent distribué auparavant à l’aide de kits d’exploit, y compris le tristement célèbre RIG EK, qui est toujours actif et met en danger la sécurité des réseaux d’entreprise où il est difficile de suivre les mises à jour à temps.

Les auteurs de logiciels malveillants ne font pas souvent de changements drastiques dans ce Troie, mais le conditionnement utilisé, composé de nombreuses couches, permet au Trojan Bunitu de rester non détecté pendant longtemps, donc utiliser la règle communautaire par Ariel Millahuel aidera à identifier le Trojan dans le réseau de l’organisation en temps opportun.

La règle a des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Exécution, Persistance 

Techniques : Exécution via le chargement de module (T1129), Clés de registre / Dossier de démarrage (T1060)