Détection du Cheval de Troie Serpent : un Nouveau Logiciel Malveillant Frappe les Entités Françaises
Table des matières :
Un nouveau malware ciblé a été observé attaquant des entités gouvernementales et de construction en France. Proofpoint a mené une recherche approfondie recherche du malware surnommé Serpent.
Analyse de Serpent Backdoor a montré que les adversaires ont utilisé un certain nombre de comportements inhabituels qui n’ont jamais été détectés auparavant. Cela nécessite de créer de nouveaux contenus de détection qui capturent spécifiquement ces nouvelles techniques d’évasion. Analysez notre nouvelle approche de détection du malware de porte dérobée Serpent et restez en avance sur cette nouvelle menace.
Détecter Serpent Backdoor : Comment identifier une activité suspecte
Cette règle créée par notre développeur Threat Bounty Emir Erdogan détecte un comportement suspect lorsqu’une charge utile crée une tâche unique pour appeler PE, crée un événement à déclencher, puis supprime la tâche.
Une fois connecté à votre compte SOC Prime (ou en créant un nouveau si vous n’en avez pas encore), vous pouvez accéder au code dans des formats Sigma et spécifiques aux fournisseurs, ainsi qu’aux données de renseignement associées au logiciel malveillant suivi sous le nom de Serpent.
Cette règle est traduite dans les formats SIEM, EDR & XDR suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant l’exécution proxy de binaires signés comme technique principale.
Accédez à des milliers d’autres règles de détection précieuses sur notre plateforme Detection as Code en appuyant sur le bouton ci-dessous. De plus, si vous êtes un chercheur en cybersécurité expérimenté ou un ingénieur de détection, vous pouvez partager vos précieuses idées en soumettant votre contenu à notre Threat Bounty Program et obtenir une rétribution financière pour ceux-ci.
Voir les détections Rejoindre le Threat Bounty
Chaîne d’attaque serpent glissante
Lors de la première étape de l’attaque, des e-mails de spear-phishing livrent des documents Microsoft Word activés par macro contenant un gestionnaire de packages Chocolatey Windows avec des charges utiles malveillantes cachées à l’intérieur. À certains endroits, les macros VBA représentent un serpent utilisant un codage ASCII, c’est pourquoi les chercheurs se réfèrent à cette porte dérobée comme Serpent.
Le fichier Microsoft Word défectueux se fait passer pour une documentation RGPD, de sorte que les victimes soupçonnent rarement quelque chose d’inhabituel. L’exécution de la macro mène à une URL d’image qui contient un script PowerShell en base64 déguisé à l’aide de la stéganographie.
L’installateur de package Chocolatey est quelque chose de nouveau qui n’a pas été observé dans les exécutions de chaîne d’attaque auparavant. C’est un outil d’automatisation légitime pour Windows qui compile des packages à partir d’archives ZIP séparées, de scripts, d’installateurs et de fichiers EXE. Les attaquants utilisent Chocolatey pour télécharger et installer la porte dérobée Serpent sur l’appareil d’un utilisateur. Ce malware permettrait l’administration à distance, l’accès aux serveurs C&C, le vol de données, ainsi que l’installation d’autres charges utiles.
À l’étape suivante, Chocolatey installe également un ensemble de dépendances Python pour que le backdoor Serpent contrôle à distance les systèmes. Par exemple, un installateur de package Python pip installe le client proxy PySocks, reçoit un autre script caché par stéganographie via une URL d’image, qui lors de l’exécution crée un fichier BAT, qui exécute également un script Python.
Les chercheurs de Proofpoint n’ont pas précisé les objectifs de cette attaque mais ont mentionné que les preuves disponibles de multiples comportements uniques indiquent une attaque ciblée avancée.
Alors que les cyber-attaques comme celle-ci deviennent de plus en plus sophistiquées, pour les organisations individuelles, il devient plus difficile de mener ce combat seules. Une solution viable est de tirer parti des avantages d’une approche de défense collaborative en rejoignant la plateforme SOC Prime’s Detection as Code .
