Contenuto di Threat Hunting: Scoprire il Backdoor Bladabindi

La backdoor Bladabindi è conosciuta almeno dal 2013, i suoi autori monitorano le tendenze della cybersecurity e migliorano la backdoor per evitarne il rilevamento: la ricompilano, aggiornano e rincorporano, per cui il contenuto di rilevamento basato su IOCs è quasi inutile. Nel 2018, la backdoor Bladabindi è diventata fileless ed è stata utilizzata come payload secondario consegnato dal malware njRAT / Njw0rm. La backdoor infetta le unità USB per diffondersi tra le organizzazioni attaccate. Gli avversari usano Bladabindi per rubare dati sensibili, scaricare ed eseguire strumenti aggiuntivi e raccogliere credenziali; è anche usata come backdoor e keylogger.

Ariel Millahuel ha creato la regola Threat Hunting Sigma basata su recenti scoperte per individuare le caratteristiche di questo malware e l’ha pubblicata su Threat Detection Marketplace. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

Ariel è uno dei contributori più attivi al Programma Developer, che guida i primi 10 autori di contenuti di questo mese. Ad aprile, ha pubblicato oltre 50 regole Sigma per rilevare l’attività dei gruppi APT e vari malware utilizzati in attacchi recenti.

Intervista con Ariel Millahuel: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Esplora i contenuti inviati da Ariel: https://tdm.socprime.com/?authors=ariel+millahuel

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Esecuzione, Evasione della Difesa 

Tecniche: Interfaccia a Riga di Comando (T1059), Disabilitare Strumenti di Sicurezza (T1089), Modifica del Registro (T1112)