Contenu de chasse aux menaces : Botnet Devil Shadow

[post-views]
juin 01, 2020 · 2 min de lecture
Contenu de chasse aux menaces : Botnet Devil Shadow

De nos jours, pendant le confinement, de nombreuses organisations continuent d’utiliser Zoom au niveau de l’entreprise pour mener des réunions de conférence, malgré les problèmes de sécurité découverts dans cette application. Les attaquants exploitent depuis plusieurs mois la popularité croissante de cette application, et vous pouvez partiellement protéger votre organisation contre les attaques en renforçant le service Zoom. Mais cela ne résoudra pas complètement le problème, car les cybercriminels peuvent envoyer aux utilisateurs des liens vers des malwares au lieu du programme d’installation de Zoom, et maintenant ils cachent des malwares dans de faux installateurs, qui exécutent la version légitime du programme d’installation de Zoom pour éviter les soupçons. Ces installateurs sont plus volumineux et s’exécutent plus lentement qu’un fichier légitime, mais l’utilisateur ordinaire n’y prêtera probablement pas attention. De cette manière, les attaquants distribuent maintenant le Devil Shadow Botnet.

En utilisant ce botnet, les cybercriminels peuvent espionner les victimes via la webcam, prendre des captures d’écran et utiliser un module keylogger pour collecter des identifiants et d’autres informations sensibles pour les prochaines étapes de l’attaque.

Les participants au programme SOC Prime Threat Bounty ont rapidement réagi à cette menace et ont publié deux règles Sigma communautaires pour découvrir des traces du Devil Shadow Botnet. Les règles sont assez différentes et couvrent différentes techniques MITRE ATT&CK.

Faux ZOOM Installer.exe (Devil Shadow Botnet) par Emir Erdogan : https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet caché dans de faux installateurs de Zoom par Osman Demir : https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

Les règles ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution, Élévation de privilèges, Accès aux informations d’identification, Persistance, Évasion de défense, Commandement et contrôle

Techniques : Exécution par l’utilisateur (T1204), Hooking (T1179), Modules et extensions du noyau (T1215), Injection de processus (T1055), Compactage logiciel (T1045), Port rarement utilisé (T1065)

Plus de règles pour détecter les attaques liées à Zoom : https://tdm.socprime.com/?searchValue=zoom

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.