Contenu de Chasse aux Menaces: Détection d’AsyncRat

[post-views]
juin 03, 2020 · 2 min de lecture
Contenu de Chasse aux Menaces: Détection d’AsyncRat

Aujourd’hui, sous la rubrique Contenu de Threat Hunting nous suscitons votre intérêt pour la Détection AsyncRAT (Comportement Sysmon) règle communautaire par Emir Erdogan. La règle permet de détecter AsyncRat en utilisant les journaux sysmon.

Selon l’auteur du projet sur GitHub, AsyncRat est un outil d’accès à distance conçu pour surveiller et contrôler d’autres ordinateurs à distance via une connexion sécurisée et cryptée, créé à des fins éducatives uniquement. La page du projet comporte même une clause de non-responsabilité légale interdisant l’utilisation de cet outil à des fins malveillantes, mais cela a-t-il jamais arrêté les attaquants ? 

Le code du AsyncRAT est disponible publiquement sur la page GitHub et peut servir d’outil très menaçant entre les mains d’acteurs de menace expérimentés. Il n’est pas très différent de la plupart des chevaux de Troie d’accès à distance, mais son code est accessible publiquement, et même un cybercriminel peu qualifié peut l’utiliser dans des attaques, tandis que des attaquants plus expérimentés peuvent créer leur propre malware basé sur le code open source. 

Les adversaires peuvent utiliser AsyncRat pour voler des identifiants et d’autres données sensibles, enregistrer des vidéos et de l’audio, collecter des informations à partir de services de messagerie, de navigateurs Web et de clients FTP. De plus, l’outil est capable de télécharger et téléverser des fichiers sur le système infecté, ce qui permet de déployer des logiciels malveillants supplémentaires pour l’attaque avancée.

Le contenu de threat hunting qui détecte cet « outil d’accès à distance » est disponible sur Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

La règle dispose de traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Évasion Défensive, Élévation de Privilèges, Persistance, Exécution

Techniques : Signature de Code (T1116), Injection de Processus (T1055), Clés de Registre / Dossier de Démarrage (T1060), Tâche Planifiée (T1053)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités