Regola della Settimana: Possibile File Dannoso con Doppia Estensione

Gli avversari possono mascherare eseguibili dannosi come immagini, documenti o archivi, sostituendo le icone dei file e aggiungendo false estensioni ai nomi dei file. Tali file “artefatti” sono spesso utilizzati come allegati in email di phishing, ed è un modo abbastanza efficace per infettare i sistemi Windows a causa dell’opzione “Nascondi le estensioni per i tipi di file conosciuti” abilitata per impostazione predefinita per Windows XP e versioni successive. L’estensione reale del file è nascosta dal sistema nel file browser e dalla maggior parte delle applicazioni che seguono le politiche del file browser di sistema. Se l’email di phishing convince l’utente ad aprire il “documento”, il malware viene installato sul sistema, e successivamente il documento esca è spesso scaricato ed eseguito in modo che l’utente non sospetti nulla.

Il nostro Team SOC ha rilasciato una regola Sigma esclusiva che rileva l’uso sospetto di un’estensione .exe dopo un’estensione di file non eseguibile come .pdf.exe, una serie di spazi o sottolineature per nascondere il file eseguibile in campagne di spear phishing: https://tdm.socprime.com/tdm/info/2FWv97nWNL5L/iea3vHEBv8lhbg_iMXqH/?p=1

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Accesso Iniziale

Tecnica: Allegato Spearphishing (T1193)

Si prega di trovare di seguito le prime 5 regole comunitarie rilasciate la scorsa settimana dai partecipanti al Programma Bounty per le Minacce: https://socprime.com/en/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/