Regola della Settimana: Trojan Bunitu

Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari spesso lo utilizzano come strumento per reindirizzare gli indirizzi IP delle macchine infette e abusarne per scopi dannosi. Una volta che un computer è infettato, Bunitu Trojan apre porte per le connessioni remote, registra la macchina compromessa nel database inviando informazioni sul suo indirizzo e sulle porte aperte e poi accetta connessioni sulle porte esposte.

Gli avversari possono utilizzare il sistema infetto nella rete dell’organizzazione in diversi schemi fraudolenti a causa del fatto che l’IP della macchina infetta è quello visibile dall’esterno. Gli operatori di Bunitu Trojan in precedenza lo distribuivano spesso utilizzando Exploit Kit, compreso il noto RIG EK, che è ancora attivo e mette in pericolo la sicurezza delle reti aziendali dove è difficile monitorare tempestivamente l’applicazione delle patch.

Gli autori del malware non apportano spesso cambiamenti drastici a questo trojan, ma il packing utilizzato, composto da molti livelli, consente a Bunitu Trojan di rimanere non rilevato per lungo tempo, quindi l’uso della regola della comunità di Ariel Millahuel aiuterà a identificare tempestivamente il Trojan nella rete dell’organizzazione.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Persistenza 

Tecniche: Esecuzione tramite Caricamento Modulo (T1129), Chiavi di Registro Run / Cartella Avvio (T1060)