Regole di Threat Hunting: Possibile Connessione C2 tramite DoH

È passato un anno da quando il primo malware ha timidamente sfruttato DNS-over-HTTPS (DoH) per recuperare gli IP per l’infrastruttura di comando e controllo. I ricercatori di sicurezza avevano già avvertito che questo poteva essere un problema serio e hanno iniziato a cercare una soluzione che aiutasse a rilevare tale traffico malevolo. Sempre più più malware ha iniziato a utilizzare il traffico DoH perché questo protocollo può essere usato da Chrome e Opera, e Mozilla ha già abilitato questa funzione di default per gli utenti statunitensi.

E ora si sa che il gruppo APT iraniano usa questo protocollo nelle campagne di cyber spionaggio dal maggio 2020. Il gruppo Oilrig (noto anche come APT34 o Helix Kitten) opera da circa sei anni e i ricercatori di sicurezza stanno regolarmente trovando nuovi strumenti legati a questo gruppo APT. Negli attacchi recenti, hanno utilizzato un nuovo strumento chiamato DNSExfiltrator durante le intrusioni in reti compromesse. Lo strumento può trasferire dati tra due punti utilizzando il protocollo DNS-over-HTTPS e Oilrig lo usa per spostare lateralmente i dati attraverso le reti interne e poi esfiltrarli verso un punto esterno. 

La nuova esclusiva regola Sigma sviluppata da Roman Ranskyi consente alle soluzioni di sicurezza di scoprire possibili connessioni C2 tramite protocollo DoH: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK: 

Tattiche: Command and Control

Tecniche: Commonly Used Port (T1043), Standard Application Layer Protocol (T1071)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.