Contenu de chasse aux menaces pour repérer les traces de Buer Loader

[post-views]
avril 27, 2020 · 2 min de lecture
Contenu de chasse aux menaces pour repérer les traces de Buer Loader

Une nouvelle règle communautaire par Ariel Millahuel qui permet la détection du chargeur Buer est disponible sur le Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer est un chargeur modulaire qui a été repéré pour la première fois à la fin de l’été dernier et depuis, ce malware a été activement promu sur les marchés souterrains. Les chercheurs de Proofpoint ont suivi de nombreuses campagnes diffusant le chargeur Buer, il a été diffusé par des emails de phishing avec des pièces jointes malveillantes et des kits d’exploitation. Le malware est écrit en C, s’exécute entièrement en mémoire résidente et peut infecter à la fois les systèmes Windows 32 bits et 64 bits. Le chargeur Buer communique via HTTPS, et est assez populaire en raison de ses capacités anti-analyse. Les capacités du malware sont similaires à celles de Smoke Loader mentionné dans notre précédent Rule Digest : https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel est l’auteur d’environ 200 règles Sigma exclusives et communautaires. Il a rejoint le Threat Bounty Program à l’automne 2019 et depuis, il s’est activement impliqué dans le développement communautaire. L’entretien avec Ariel est publié sur notre site web : https://socprime.com/blog/interview-with-developer-ariel-millahuel/

La détection des menaces est prise en charge pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Persistance

Techniques : Clés de registre Run / Dossier de démarrage (Е1060), DLL d’aide Winlogon (Е1004)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.