Règle de la Semaine : Fichier Malveillant à Double Extension Possible

Les adversaires peuvent masquer des exécutables malveillants sous forme d’images, de documents ou d’archives, en remplaçant les icônes de fichiers et en ajoutant de fausses extensions aux noms de fichiers. Ces fichiers « conçus » sont souvent utilisés comme pièces jointes dans des e-mails de phishing, et c’est un moyen assez efficace d’infecter les systèmes Windows en raison de l’option « Masquer les extensions des types de fichiers connus » activée par défaut pour Windows XP et les systèmes plus récents. L’extension réelle du fichier est masquée par le système dans le navigateur de fichiers et la plupart des applications suivent les politiques du navigateur de fichiers du système. Si l’e-mail de phishing convainc l’utilisateur d’ouvrir le « document », le malware est installé sur le système, puis le document appât est souvent téléchargé et exécuté pour que l’utilisateur ne soupçonne rien.

Notre équipe SOC a publié une règle Sigma exclusive qui détecte l’utilisation suspecte d’une extension .exe après une extension de fichier non exécutable comme .pdf.exe, un ensemble d’espaces ou de soulignés pour dissimuler le fichier exécutable dans les campagnes de spear phishing : https://tdm.socprime.com/tdm/info/2FWv97nWNL5L/iea3vHEBv8lhbg_iMXqH/?p=1

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR : CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Accès initial

Technique : Pièce jointe du spear phishing (T1193)

Veuillez trouver ci-dessous les 5 meilleures règles communautaires publiées la semaine dernière par les participants au programme de primes aux menaces : https://socprime.com/en/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/