Regola IOC: Trojan Bancario Grandoreiro

[post-views]
Maggio 06, 2020 · 3 min di lettura
Regola IOC: Trojan Bancario Grandoreiro

Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poiché possono aiutare a identificare un fatto di compromissione, inoltre, non tutti gli avversari modificano rapidamente il loro malware, e quindi tali regole possono rilevare una minaccia per molto tempo. Oggi esaminiamo una di queste regole – Banking Trojan Grandoreiro di Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro è uno dei molti trojan bancari utilizzati contro obiettivi in America Latina. Il primo accenno a questo malware è apparso nel 2017 quando gli aggressori lo distribuivano solo in Perù e Brasile, ma presto i criminali informatici hanno ampliato la geografia degli attacchi, aggiungendo la Spagna e il Messico alla lista degli obiettivi. Il trojan Grandoreiro viene distribuito tramite e-mail di spam contenenti un link a un sito web che offre aggiornamenti Java o Flash falsi. Dall’inizio della pandemia, gli aggressori hanno utilizzato attivamente la paura intorno al COVID-19 nelle loro campagne.

 

La rilevazione delle minacce è supportata per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Escalation dei Privilegi, Evasione delle Difese, Persistenza

Tecniche: Esecuzione tramite Caricamento del Modulo (T1129), Iniezione di Processo (T1055), Chiavi di Registro Run / Cartella di Avvio (T1060)

 

Il trojan abusa di MsiExec.exe e offriamo diverse regole per rilevare tale comportamento:

Directory MsiExec sospetta di Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

Installazione Web di MsiExec di Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) di Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Bypass di Msiexec.exe e Mavinject.exe (LolBins) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Manipolazione di Msiexec per stabilire la comunicazione con un server c2 di Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

SOC Prime Threat Bounty Digest — Risultati di Settembre 2024
Blog, Piattaforma SOC Prime — 4 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Settembre 2024
Alla Yurchenko
SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Blog, Piattaforma SOC Prime — 5 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Alla Yurchenko
Il Gruppo Lazarus Riappare, Sfruttando la Vulnerabilità di Log4j e Diffondendo MagicRAT
Blog, Ultime Minacce — 3 min di lettura
Il Gruppo Lazarus Riappare, Sfruttando la Vulnerabilità di Log4j e Diffondendo MagicRAT
Anastasiia Yevdokimova