Contenuto di Threat Hunting: Comportamento di SamoRAT

Ultime Minacce

Luglio 14, 2020

2 min di lettura

Contenuto di Threat Hunting: Comportamento di SamoRAT

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Oggi nella sezione Contenuti di Threat Hunting vogliamo prestare attenzione alla regola comunitaria rilasciata in Threat Detection Marketplace da Ariel Millahuel che rileva nuovi campioni del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Questo trojan di accesso remoto è apparso sui radar dei ricercatori recentemente, i primi campioni di SamoRAT sono stati scoperti circa un mese fa. Il trojan è un malware basato su .NET, che viene principalmente utilizzato dai criminali informatici per ricevere ed eseguire diversi comandi sul sistema infetto. Come altri trojan di accesso remoto, è anche in grado di scaricare ed eseguire altri malware e strumenti utilizzati dagli avversari.

SamoRAT utilizza controlli anti-analisi per rilevare quando viene analizzato dai sistemi AV, permettendogli di cambiare il suo comportamento affinché non vengano attivati allarmi dai software antivirus. Il trojan ha la funzionalità di fermare il processo di Windows Defender e disabilitarne le funzionalità modificando i registri per evitare la rilevazione durante l’esecuzione. È anche in grado di eseguire comandi PowerShell per disabilitare le funzionalità aggiuntive di Windows Defender. SamoRAT ottiene la persistenza tramite attività pianificate o modifica dei registri di Windows (a seconda dei privilegi dell’amministratore per l’esecuzione all’avvio). Dopo aver ottenuto un punto d’appoggio, il malware si registra al server di comando e controllo inviando una richiesta POST e poi effettua un’altra richiesta POST allo stesso indirizzo indicando che è pronto a ricevere comandi.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Persistenza

Tecniche: Chiavi di esecuzione nel Registro / Cartella d’avvio (T1060)


Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko