Contenuto di Caccia alle Minacce: CertReq.exe Lolbin

[post-views]
Luglio 09, 2020 · 2 min di lettura
Contenuto di Caccia alle Minacce: CertReq.exe Lolbin

I binari Living off the Land (Lolbins) sono binari legittimi che avversari avanzati spesso usano in modo improprio per eseguire azioni oltre il loro scopo originale. I criminali informatici li usano attivamente per scaricare malware, per garantire la persistenza, per l’esfiltrazione dei dati, per il movimento laterale e altro ancora. Proprio ieri abbiamo scritto di una regola che rileva gli attacchi del gruppo Evil Corp, che utilizza Lolbins per distribuire il ransomware WastedLocker sul massimo numero di sistemi nelle organizzazioni.

CertReq.exe è presente su Windows e il suo uso previsto è di assistere nella creazione e installazione di certificati. Non è uno dei Lolbins eccessivamente sfruttati dai criminali informatici, ma può essere utilizzato per eseguire azioni dannose senza attirare l’attenzione delle soluzioni di sicurezza. I criminali informatici possono usare CertReq.exe per caricare e scaricare piccoli file. Può essere utilizzato per caricare un file tramite HTTP POST, scaricare un file tramite HTTP POST e salvarlo su disco o mostrare i contenuti. Puoi leggere di più sull’esploit di CertReq.exe qui.

Den Iuzvik ha sviluppato e rilasciato una nuova regola Sigma di minaccia hunting che rileva il possibile caricamento/scaricamento di file con CertReq.exe: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Command And Control

Tecniche: Copia di File Remota (T1105)

 

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati