Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poiché possono aiutare a identificare un fatto di compromissione, inoltre, non tutti gli avversari modificano rapidamente il loro malware, e quindi tali regole possono rilevare una minaccia per molto tempo. Oggi esaminiamo una di queste regole – Banking Trojan Grandoreiro di Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1
Grandoreiro è uno dei molti trojan bancari utilizzati contro obiettivi in America Latina. Il primo accenno a questo malware è apparso nel 2017 quando gli aggressori lo distribuivano solo in Perù e Brasile, ma presto i criminali informatici hanno ampliato la geografia degli attacchi, aggiungendo la Spagna e il Messico alla lista degli obiettivi. Il trojan Grandoreiro viene distribuito tramite e-mail di spam contenenti un link a un sito web che offre aggiornamenti Java o Flash falsi. Dall’inizio della pandemia, gli aggressori hanno utilizzato attivamente la paura intorno al COVID-19 nelle loro campagne.
La rilevazione delle minacce è supportata per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Escalation dei Privilegi, Evasione delle Difese, Persistenza
Tecniche: Esecuzione tramite Caricamento del Modulo (T1129), Iniezione di Processo (T1055), Chiavi di Registro Run / Cartella di Avvio (T1060)
Il trojan abusa di MsiExec.exe e offriamo diverse regole per rilevare tale comportamento:
Directory MsiExec sospetta di Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/
Installazione Web di MsiExec di Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/
LOLBAS msiexec (via cmdline) di Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/
Bypass di Msiexec.exe e Mavinject.exe (LolBins) di Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/
Manipolazione di Msiexec per stabilire la comunicazione con un server c2 di Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/
