Contenuti per la Caccia alle Minacce per Individuare Tracce di Buer Loader

Una nuova regola della comunità di Ariel Millahuel che consente il rilevamento di Buer loader è disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer è un loader modulare che è stato individuato per la prima volta alla fine dell’estate scorsa e da allora questo malware è stato attivamente promosso nei marketplace underground. I ricercatori di Proofpoint hanno tracciato più campagne di diffusione di Buer loader, distribuito tramite email di phishing con allegati malevoli e exploit kit. Il malware è scritto in C, funziona interamente in memoria residente e può infettare sia i sistemi Windows a 32 bit che a 64 bit. Il Buer loader comunica tramite HTTPS ed è molto popolare grazie alle sue capacità anti-analisi. Le capacità del malware sono simili a quelle di Smoke Loader menzionato nel nostro precedente Rule Digest: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel è l’autore di circa 200 regole Sigma esclusive e della comunità. Si è unito al Threat Bounty Program nell’autunno 2019 e da allora è stato attivamente coinvolto nello sviluppo della comunità. L’intervista con Ariel è pubblicata sul nostro sito: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Persistenza

Tecniche: Chiavi di Registro Run / Cartella di Avvio (Е1060), DLL di Assistente Winlogon (Е1004)