Contenuto di Rilevamento: Identificare l’Attività del Trojan Ursnif

La regola esclusiva ‘Process Injection by Ursnif (Dreambot Malware)’ di Emir Erdogan è rilasciata su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

Il Trojan bancario Ursnif è stato utilizzato dagli avversari in varie modifiche per circa 13 anni, guadagnando costantemente nuove funzionalità e acquisendo nuovi trucchi per evitare le soluzioni di sicurezza. Il suo codice sorgente è stato divulgato nel 2014 e da allora Ursnif spesso compare nelle classifiche dei primi 10 malware, e varie modifiche del Trojan sono utilizzate in tutto il mondo per rubare informazioni bancarie sensibili e credenziali sui sistemi infetti. Questa regola consente alla tua soluzione di rilevare Ursnif quando si inietta nel processo canaglia. Rilevare il Trojan in una fase iniziale preverrà furti di dati e determinerà credenziali che potrebbero essere compromesse.

Emir Erdogan è uno dei partecipanti più attivi del programma Threat Bounty Developer di SOC Prime. A partire da settembre 2019, ha pubblicato oltre 100 regole comunitarie ed esclusive che hanno attirato l’attenzione degli utenti TDM grazie alla loro alta qualità di contenuto e rilevanza per la sicurezza.

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK®: 

Tattiche: Esecuzione, Accesso alle Credenziali, Evasione di Difesa, Escalation dei Privilegi

Tecniche: Command-Line Interface (T1059), Credenziali nei File (T1081), Process Injection (T1055), Rundll32 (T1085)

Puoi esplorare altre tattiche utilizzate dal Trojan bancario Ursnif nella sezione MITRE ATT&CK® su Threat Detection Marketplace: https://tdm.socprime.com/att-ck/