Contenuto di Threat Hunting: Payload Dannoso in Falsi Registri di Errore di Windows

[post-views]
Giugno 23, 2020 · 2 min di lettura
Contenuto di Threat Hunting: Payload Dannoso in Falsi Registri di Errore di Windows

La scorsa settimana, i ricercatori di sicurezza hanno scoperto un modo curioso per nascondere il payload dannoso in bella vista, e questo metodo è attivamente utilizzato in natura. Gli avversari utilizzano falsi log di errore per memorizzare caratteri ASCII camuffati come valori esadecimali che decodificano in un payload dannoso progettato per preparare il terreno per attacchi basati su script.

Nello scenario scoperto, i cybercriminali hanno applicato un nuovo metodo dopo aver compromesso i sistemi e raggiunto la persistenza. Poi hanno usato un file con estensione .chk che imitava un log di errore di Windows per un’applicazione. A prima vista, il file non è sospetto, poiché ha marcature temporali e include riferimenti al numero di versione interna di Windows, ma alla fine di ogni riga è presente una rappresentazione decimale dei caratteri ASCII. Un tale file non provocherà sospetti nelle soluzioni di sicurezza, e l’utente lo considererà legittimo; in realtà, questo falso log di errore nasconde uno script codificato che contatta il server di comando e controllo per il prossimo passo nell’attacco. Lo script viene eseguito utilizzando un’attività pianificata e due binari legittimi di windows rinominati: mshta.exe e powershell.exe. Gli attaccanti utilizzano lo script per raccogliere dettagli sui browser installati, sui prodotti di sicurezza e sul software punto vendita. Regola esclusiva di threat hunting sviluppata da Osman Demir aiuta le soluzioni di sicurezza a trovare falsi log di errore di Windows contenenti payload dannosi: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Evasione Difensiva

Tecniche: Masquerading (T1036)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.