Contenuto per il Threat Hunting: Rilevamento di AsyncRat

[post-views]
Giugno 03, 2020 · 2 min di lettura
Contenuto per il Threat Hunting: Rilevamento di AsyncRat

Oggi, sotto la colonna Threat Hunting Content stiamo aumentando il vostro interesse per Rilevamento di AsyncRAT (Comportamento Sysmon) regola della comunità di Emir Erdogan. La regola consente il rilevamento di AsyncRat utilizzando i log di sysmon.

Secondo l’autore del progetto su GitHub, AsyncRat è uno strumento di accesso remoto progettato per monitorare e controllare a distanza altri computer attraverso una connessione crittografata sicura, creato solo a fini educativi. La pagina del progetto include persino un disclaimer legale che vieta l’uso di questo strumento per scopi malevoli, ma quando ha mai fermato gli attaccanti? 

Il codice di AsyncRAT è disponibile pubblicamente sulla pagina di GitHub e può servire come uno strumento molto minaccioso nelle mani di attori di minacce esperti. Non è molto diverso dalla maggior parte dei trojan di accesso remoto, ma il suo codice è pubblicamente disponibile, e anche un cybercriminale inesperto può usarlo in attacchi, mentre attaccanti più esperti possono creare il proprio malware basato su codice open source. 

Gli avversari possono utilizzare AsyncRat per rubare credenziali e altri dati sensibili, registrare video e audio, raccogliere informazioni da servizi di messaggistica, browser Web e client FTP. Inoltre, lo strumento è in grado di scaricare e caricare file sul sistema infetto, quindi può distribuire ulteriore malware per l’attacco avanzato.

Il contenuto per la threat hunting che rileva questo “Remote Access Tool” è disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Evasione delle difese, Escalation dei privilegi, Persistenza, Esecuzione

Tecniche: Firma del codice (T1116), Iniezione di processo (T1055), Chiavi di Registro Run / Cartella di Avvio (T1060), Attività pianificata (T1053)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

SOC Prime Threat Bounty Digest — Risultati di Settembre 2024
Blog, Piattaforma SOC Prime — 4 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Settembre 2024
Alla Yurchenko
SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Blog, Piattaforma SOC Prime — 5 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Alla Yurchenko
Il Gruppo Lazarus Riappare, Sfruttando la Vulnerabilità di Log4j e Diffondendo MagicRAT
Blog, Ultime Minacce — 3 min di lettura
Il Gruppo Lazarus Riappare, Sfruttando la Vulnerabilità di Log4j e Diffondendo MagicRAT
Anastasiia Yevdokimova