L’articolo di oggi è in qualche modo una continuazione di Contenuto di rilevamento: Arkei Stealer poiché l’autore della regola di rilevamento per Ave Maria RAT è lo stesso, e entrambi gli strumenti malevoli sono stati recentemente diffusi attivamente utilizzando lo Spamhaus Botnet.
Ave Maria è un Remote Access Trojan spesso utilizzato dagli avversari per prendere il controllo dei sistemi infetti e abilitarli con funzionalità di controllo remoto. Il trojan è stato osservato per la prima volta diffondersi attraverso campagne di phishing malevole nel 2018 e la sua presenza sui sistemi infetti è in costante crescita da allora. Ave Maria RAT è dotato di più funzioni rispetto al tipico trojan spia. Utilizza bypass UAC e token di processo per elevare i suoi privilegi. Una volta fatto ciò, eseguirà un cmdlet PowerShell per modificare le impostazioni di Windows Defender ed escludere percorsi specifici dalla scansione in tempo reale.
La regola Sigma recentemente rilasciata da Lee Archinal permette alle soluzioni di sicurezza di rilevare istanze fresche di malware Ave Maria sui sistemi Windows: https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tattiche: Persistenza
Tecniche: Chiavi di registro Run / Cartella di avvio (T1060)
Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità TDM.
