Règles de Chasse aux Menaces : Ave Maria RAT

L’article d’aujourd’hui est en quelque sorte une continuation de Contenu de détection : Arkei Stealer puisque l’auteur de la règle de détection pour Ave Maria RAT est le même, et que les deux outils malveillants ont récemment été activement diffusés en utilisant le Botnet Spamhaus. 

Ave Maria est un Trojan d’accès à distance souvent utilisé par les adversaires pour prendre le contrôle des systèmes infectés et leur offrir des capacités de contrôle à distance. Le cheval de Troie a d’abord été observé se répandant à travers des campagnes de phishing malveillantes en 2018 et sa présence sur les systèmes infectés a augmenté depuis. Le Ave Maria RAT est doté de plus de fonctions que le simple espion trojan typique. Il utilise le contournement UAC et les jetons de processus pour élever ses privilèges. Une fois cela fait, il exécutera un cmdlet PowerShell pour modifier les paramètres de Windows Defender et exclure des chemins spécifiques de l’analyse en temps réel. 

La règle Sigma récemment publiée par Lee Archinal permet aux solutions de sécurité de détecter de nouvelles instances du malware Ave Maria sur les systèmes Windows : https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Persistance

Techniques : Clés de registre au démarrage / Dossier de démarrage (T1060)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Programme de prime aux menaces pour créer votre propre contenu et le partager avec la communauté TDM.