Règles de chasse aux menaces : Connexion C2 possible via DoH

Cela fait un an depuis que le premier malware a timidement exploité DNS-over-HTTPS (DoH) pour récupérer les IPs pour l’infrastructure de commande-et-contrôle. Les chercheurs en sécurité avaient déjà averti que cela pourrait être un problème sérieux et ont commencé à chercher une solution qui aiderait à détecter un tel trafic malveillant. De plus en plus de malwares ont commencé à passer au trafic DoH car ce protocole peut être utilisé par Chrome et Opera, et Mozilla a déjà activé cette fonctionnalité par défaut pour les utilisateurs américains.

Et maintenant, il est connu que le groupe APT iranien utilise ce protocole dans des campagnes de cyberespionnage depuis mai 2020. Oilrig groupe (alias APT34 ou Helix Kitten) opère depuis environ six ans et les chercheurs en sécurité découvrent régulièrement de nouveaux outils liés à ce groupe APT. Dans les attaques récentes, ils ont utilisé un nouvel outil appelé DNSExfiltrator lors d’intrusions dans des réseaux compromis. L’outil peut transférer des données entre deux points en utilisant le protocole DNS-over-HTTPS et Oilrig l’utilise pour déplacer des données latéralement à travers des réseaux internes et ensuite les exfiltrer vers un point extérieur. 

Nouvelle règle Sigma exclusive développée par Roman Ranskyi qui permet aux solutions de sécurité de découvrir les connexions C2 possibles via le protocole DoH : https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

NTA : Corelight

MITRE ATT&CK : 

Tactiques : Commande et Contrôle

Techniques : Port Couramment Utilisé (T1043), Protocole d’Application Standard (T1071)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.