Contenu de Threat Hunting : Comportement de SamoRAT

Aujourd’hui, dans la section Contenu de Threat Hunting, nous souhaitons porter attention à la règle communautaire publiée dans le Threat Detection Marketplace par Ariel Millahuel qui détecte de nouveaux échantillons de malware SamoRAT : https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Ce cheval de Troie d’accès à distance est apparu sur les radars des chercheurs récemment, les premiers échantillons de SamoRAT ont été découverts il y a environ un mois. Le cheval de Troie est un malware basé sur .NET principalement utilisé par les cybercriminels pour recevoir et exécuter différentes commandes sur le système infecté. Comme d’autres chevaux de Troie d’accès à distance, il est également capable de télécharger et d’exécuter d’autres malwares et outils utilisés par les adversaires.

SamoRAT utilise une vérification anti-analyse pour détecter quand il est en cours d’analyse par les systèmes AV, lui permettant de modifier son comportement afin qu’aucune alarme ne soit déclenchée par le logiciel antivirus. Le cheval de Troie a la fonctionnalité d’arrêter le processus Windows Defender et de désactiver ses fonctionnalités en modifiant les registres pour éviter la détection en temps réel. Il est également capable d’exécuter des commandes PowerShell pour désactiver les fonctionnalités supplémentaires de Windows Defender. SamoRAT atteint la persistance via des tâches planifiées ou la modification des registres Windows (en fonction des privilèges administrateur pour l’exécuter au démarrage). Après avoir pris pied, le malware s’enregistre sur le serveur de commande et de contrôle en envoyant une requête POST puis en effectue une autre à la même adresse indiquant qu’il est prêt à recevoir des commandes.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Persistance

Techniques : Clés de Registre Run / Dossier de Démarrage (T1060)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de Récompense Threat pour créer votre propre contenu et le partager avec la communauté TDM.