Contenuto di Rilevamento: Comportamento di GoldenHelper

Questa settimana non evidenzieremo alcuna regola nella sezione “Regola della Settimana”, perché le regole più calde sono già state pubblicate nello speciale di ieri digest speciale dedicato alle regole che rilevano lo sfruttamento di una vulnerabilità critica nei server DNS di Windows, CVE-2020-1350 (conosciuta anche come SIGRed).

La pubblicazione di oggi è dedicata al rilevamento del malware GoldenHelper che era incorporato nel software ufficiale.  Gli avversari hanno nascosto il malware nel Golden Tax Invoicing Software (Edizione Baiwang), richiesto dalle banche cinesi per il pagamento delle imposte sull’IVA. Il malware GoldenHelper utilizza tecniche sofisticate per nascondere la sua distribuzione, presenza e attività. Alcune delle tecniche interessanti utilizzate da GoldenHelper includono la randomizzazione del nome durante il transito, la randomizzazione della posizione nel file system, timestomping, DGA (Domain Generation Algorithm) basato su IP, bypass dell’UAC e escalation dei privilegi. Le versioni scoperte di GoldenHelper erano firmate digitalmente da NouNou Technologies e progettate per rilasciare un payload finale. I ricercatori credono che la campagna per distribuire questo malware sia già terminata, ma che gli attaccanti possano ancora utilizzare il payload finale installato sui sistemi compromessi, pertanto si raccomanda di controllare i registri per tracce del malware GoldenHelper. La nuova regola di Ariel Millahuelè progettata non solo per trovare tracce del malware GoldenHelper ma anche del payload finale installato: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Evasione della Difesa

Tecniche: Modifica del Registro (T1112)

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.