Sintesi Regole: CobaltStrike, APT10 e APT41

[post-views]
Luglio 18, 2020 · 4 min di lettura
Sintesi Regole: CobaltStrike, APT10 e APT41

Siamo lieti di presentarvi il consueto Rule Digest, che consiste di regole sviluppate esclusivamente dal SOC Prime Team. Si tratta di una sorta di selezione tematica, poiché tutte queste regole aiutano a individuare attività malevole di gruppi APT collegati al governo cinese e lo strumento CobaltStrike spesso utilizzato da questi gruppi in campagne di spionaggio informatico.

Ma prima di passare direttamente al Rule Digest, vogliamo attirare la vostra attenzione su una vulnerabilità critica nei server DNS di Windows, CVE-2020-1350 (alias SIGRed) e contenuti di threat hunting per rilevare il suo sfruttamento. Puoi leggere il nostro speciale rule digest dedicato a tali contenuti qui: https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

La regola Possible CobaltStrike PsExec filenames (via audit) consente alle soluzioni di sicurezza di identificare rapidamente il comportamento di psexec di CobaltStrike basato sul suo schema di denominazione del servizio pseudo-casuale prevedibile. CobaltStrike utilizza eseguibili con 7 caratteri alfanumerici casuali per impostazione predefinita (ad esempio 28a3fe2.exe). CobaltStrike è spesso utilizzato dal gruppo APT41, ma molti altri attori delle minacce utilizzano anche questo strumento, quindi la regola comunitaria sarà utile in quasi ogni organizzazione: https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

Attendete il prossimo digest tra una settimana.

Stai al sicuro!

Le seguenti due regole servono per rilevare l’attività del gruppo APT41. Questo gruppo utilizza diverse famiglie di malware per mantenere l’accesso a questo ambiente e nelle campagne osservate hanno utilizzato lo strumento ACEHASH nei casi in cui Mimikatz falliva. ACEHASH è un’utilità di furto di credenziali e dumping di password che combina la funzionalità di più strumenti come Mimikatz, hashdump e Windows Credential Editor. La regola Possible APT41 ACEHASH usage (via cmdline) corrisponde alle istanze del loro precedente utilizzo di ACEHASH come modulo criptato: https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

 

APT41 utilizza frequentemente l’utilità pubblicamente disponibile WMIEXEC per spostarsi lateralmente in un ambiente. WMIEXEC è uno strumento che consente l’esecuzione di comandi WMI su macchine remote. La regola Possible APT41 WMIEXEC Usage (via cmdline) rileva una versione personalizzata di WMIEXEC da impacket utilizzata da questo attore: https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

 

E le ultime due regole aiutano a rilevare l’attività di un altro gruppo cinese, APT10 (alias menuPass), nella rete di un’organizzazione. APT10 è un gruppo di spionaggio informatico cinese attivo dal 2009. Storicamente hanno preso di mira le aziende di costruzione e ingegneria, aerospaziale e telecomunicazioni, e governi negli Stati Uniti, Europa e Giappone.

In campagne passate, gli aggressori hanno depositato file TXT utilizzando macro dannose, e poi la stessa macro ha decodificato i file depositati utilizzando Windows certutil.exe e creato una copia dei file con le loro estensioni corrette usando Extensible Storage Engine Utilities (esentutil.exe). La regola Possible menuPass TTP .TXT in base di directory insolite (via cmdline) può scoprire tale attività per fermare l’attacco: https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1


E l’ultima regola di oggi aiuta a rilevare quando questo attore di minacce utilizza “proxyconnect” come strumento per fare da proxy ad RDP. La regola Possible menuPass Hacktool proxyconnect (via cmdline) è disponibile qui: https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

 

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Esecuzione, Accesso alle credenziali, Raccolta 

Tecniche: Esecuzione del servizio (T1569), Credential Dumping (T1003), PowerShell (T1086), Dati messi in scena (T1074)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro