Oggi nella sezione Regola della Settimana vogliamo evidenziare una nuova regola di threat hunting di Ariel Millahuel che aiuta a rilevare i campioni di Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1
Bunitu Trojan viene utilizzato per trasformare i sistemi infetti in proxy per clienti remoti. Le sue azioni dannose possono rallentare il traffico di rete e gli avversari spesso lo utilizzano come strumento per reindirizzare gli indirizzi IP delle macchine infette e abusarne per scopi dannosi. Una volta che un computer è infettato, Bunitu Trojan apre porte per le connessioni remote, registra la macchina compromessa nel database inviando informazioni sul suo indirizzo e sulle porte aperte e poi accetta connessioni sulle porte esposte.
Gli avversari possono utilizzare il sistema infetto nella rete dell’organizzazione in diversi schemi fraudolenti a causa del fatto che l’IP della macchina infetta è quello visibile dall’esterno. Gli operatori di Bunitu Trojan in precedenza lo distribuivano spesso utilizzando Exploit Kit, compreso il noto RIG EK, che è ancora attivo e mette in pericolo la sicurezza delle reti aziendali dove è difficile monitorare tempestivamente l’applicazione delle patch.
Gli autori del malware non apportano spesso cambiamenti drastici a questo trojan, ma il packing utilizzato, composto da molti livelli, consente a Bunitu Trojan di rimanere non rilevato per lungo tempo, quindi l’uso della regola della comunità di Ariel Millahuel aiuterà a identificare tempestivamente il Trojan nella rete dell’organizzazione.
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Esecuzione, Persistenza
Tecniche: Esecuzione tramite Caricamento Modulo (T1129), Chiavi di Registro Run / Cartella Avvio (T1060)
