Contenu de chasse aux menaces : Charge malveillante dans de faux journaux d’erreurs Windows

[post-views]
juin 23, 2020 · 2 min de lecture
Contenu de chasse aux menaces : Charge malveillante dans de faux journaux d’erreurs Windows

La semaine dernière, les chercheurs en sécurité ont découvert une manière curieuse de cacher la charge utile malveillante au grand jour, et cette méthode est activement utilisée dans la nature. Les adversaires utilisent de faux journaux d’erreurs pour stocker des caractères ASCII déguisés en valeurs hexadécimales qui se décodent en une charge utile malveillante conçue pour préparer le terrain aux attaques basées sur des scripts.

Dans le scénario découvert, les cybercriminels ont appliqué une nouvelle méthode après avoir compromis les systèmes et atteint la persistance. Ensuite, ils ont utilisé un fichier avec une extension .chk qui imitait un journal d’erreurs Windows pour une application. À première vue, le fichier n’est pas suspect, car il possède des horodatages et inclut des références au numéro de version interne de Windows, mais à la fin de chaque ligne se trouve une représentation décimale d’un caractère ASCII. Un tel fichier ne suscitera pas la suspicion des solutions de sécurité, et l’utilisateur le considérera légitime, en fait, ce faux journal d’erreurs cache un script encodé qui contacte le serveur de commande et de contrôle pour la prochaine étape de l’attaque. Le script est exécuté à l’aide d’une tâche planifiée et de deux exécutables Windows légitimes renommés : mshta.exe et powershell.exe. Les attaquants utilisent le script pour collecter des détails sur les navigateurs installés, les produits de sécurité et les logiciels de point de vente. Une règle exclusive de chasse à la menace développée par Osman Demir aide les solutions de sécurité à trouver les faux journaux d’erreurs Windows contenant des charges utiles malveillantes : https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Evasion de défense

Techniques : Déguisement (T1036)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités