Contenu de chasse aux menaces : détection du malware PipeMon

[post-views]
mai 27, 2020 · 3 min de lecture
Contenu de chasse aux menaces : détection du malware PipeMon

PipeMon est une porte dérobée modulaire signée avec un certificat appartenant à une entreprise de jeux vidéo, qui a été compromise par le groupe Winnti en 2018. Les chercheurs d’ESET ont découvert cette porte dérobée utilisée dans des attaques contre des entreprises en Corée du Sud et à Taïwan qui développent des jeux en ligne massivement multijoueurs populaires. Ils ont nommé la porte dérobée PipeMon car l’auteur du malware a utilisé “Monitor » comme nom du projet Visual Studio, et plusieurs tuyaux nommés ont été utilisés pour la communication inter-modules. Chaque module observé présente différentes fonctionnalités, et c’est une seule DLL exportant une fonction appelée IntelLoader et chargée via une technique de chargement réfléchi. Lors de l’installation, le chargeur dépose le malware dans le dossier des processeurs d’impression Windows et setup.dll enregistre le chargeur de DLL malveillant comme un processeur d’impression alternatif.

Le groupe Winnti est actif depuis au moins 2011, ciblant principalement les industries de logiciels et de jeux vidéo avec de rares attaques dans les secteurs de la santé et de l’éducation. Ils sont tristement célèbres pour des attaques de chaîne d’approvisionnement de haut niveau et le trojanisation de logiciels populaires. Leur opération ShadowHammer a affecté des dizaines de milliers de systèmes dans le monde entier, et l’automne dernier, le groupe Winnti a utilisé le malware PortReuse dans l’attaque contre un grand fabricant de matériel et de logiciels mobiles basé en Asie. Lors de l’enquête sur la dernière campagne, les chercheurs ont découvert au moins un cas où le groupe a pu compromettre le système de construction d’une organisation et avait la possibilité de planter le malware à l’intérieur de l’exécutable du jeu vidéo.

Une règle de Threat Hunting par Ariel Millahuel permet à votre solution de sécurité de détecter l’enregistrement de la porte dérobée modulaire PipeMon en tant que processeur d’impression alternatif : https://tdm.socprime.com/tdm/info/3iqBPbAHTzrB/huahUHIBv8lhbg_icOaz/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK :

Tactiques : Évasion des défenses

Techniques : Modifier le Registre (T1112), Fichiers ou informations obfusqués (T1027)

Acteurs : Groupe Winnti

 

Plus de contenu sur le Threat Hunting sur notre blog : https://socprime.com/tag/threat-hunting-content/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.