Contenuto di Threat Hunting: Comportamento di SamoRAT

[post-views]
Luglio 14, 2020 · 2 min di lettura
Contenuto di Threat Hunting: Comportamento di SamoRAT

Oggi nella sezione Contenuti di Threat Hunting vogliamo prestare attenzione alla regola comunitaria rilasciata in Threat Detection Marketplace da Ariel Millahuel che rileva nuovi campioni del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Questo trojan di accesso remoto è apparso sui radar dei ricercatori recentemente, i primi campioni di SamoRAT sono stati scoperti circa un mese fa. Il trojan è un malware basato su .NET, che viene principalmente utilizzato dai criminali informatici per ricevere ed eseguire diversi comandi sul sistema infetto. Come altri trojan di accesso remoto, è anche in grado di scaricare ed eseguire altri malware e strumenti utilizzati dagli avversari.

SamoRAT utilizza controlli anti-analisi per rilevare quando viene analizzato dai sistemi AV, permettendogli di cambiare il suo comportamento affinché non vengano attivati allarmi dai software antivirus. Il trojan ha la funzionalità di fermare il processo di Windows Defender e disabilitarne le funzionalità modificando i registri per evitare la rilevazione durante l’esecuzione. È anche in grado di eseguire comandi PowerShell per disabilitare le funzionalità aggiuntive di Windows Defender. SamoRAT ottiene la persistenza tramite attività pianificate o modifica dei registri di Windows (a seconda dei privilegi dell’amministratore per l’esecuzione all’avvio). Dopo aver ottenuto un punto d’appoggio, il malware si registra al server di comando e controllo inviando una richiesta POST e poi effettua un’altra richiesta POST allo stesso indirizzo indicando che è pronto a ricevere comandi.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Persistenza

Tecniche: Chiavi di esecuzione nel Registro / Cartella d’avvio (T1060)


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.