ボラット リモート アクセス マルウェアを検出する

新しいトリッキーなリモートアクセスツール Borat RATと名付けられた がサイバーセキュリティ研究者によって発見されました。 その名前が示すように、それは理解しにくい、さまざまなものが混ざり合ったものです。 Borat トロイの木馬 は、ビルダーとサーバー証明書を備えたマルウェアモジュールのコレクションで、10以上の悪意ある機能を含んでいます。

Boratがシステムに侵入すると、マウスとキーボード、ファイル、ネットワークリソースを制御し、ビデオとオーディオの録音、資格情報の盗難、DDoS、ランサムウェア、キーログ記録などが可能です。その上、Borat RATはデータを難読化して、その存在を目立たなくします。上記のマルウェアを検出するために私たちが提案するソリューションについて詳しく学んでください。

Borat リモートアクセスマルウェア検出

最新のルールを配備することによってBorat (RAT) ジェネレーターを検出できます Furkan Celik.

Borat リモートアクセス・トロイの木馬検出 ランサムウェア攻撃を有効化 (via file_event)

このルールは次のSIEM, EDR & XDRフォーマットに変換されています: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch。

このルールは最新のMITRE ATT&CK® フレームワーク v.10と一致し、コマンド＆コントロールの戦術および侵入ツール転送 (T1105) 技術に対処しています。

ご存知のように、敵は特定のマルウェアを開発した後も、ダークウェブ市場で成功裏に販売されている場合でも、製品を改善し続けます。最新のBorat RATのアップデートを見逃さないように、現状でこのサイバー攻撃に関するすべての検出をリストにして確認してください。高度な検索セクションで、特定のニーズに合わせて検索条件を絞り込むことができます。

また、あなたが脅威ハンターや検出エンジニアである場合、私たちのクラウドソーシングイニシアチブに登録することで、認識と金銭的利益を得る機会があります。独自のカスタム検出を作成してプラットフォームに提出し、グローバルサイバー強靭性向上に貢献してください。

検出を表示 Threat Bountyに参加

Borat RAT 分析

先に述べたように、多くの Boratの機能 がいくつかの主要カテゴリに分けられています:

• リモート hVNC — 隠しデスクトップとブラウザ
• リモートファン — モニターのオン/オフ、タスクバーの表示/非表示、時計、トレイ、マウスなど、タスクマネージャーの有効/無効化、UACの無効化、その他多数
• リモートシステム — リモートシェル、リバースプロキシ、レジストリエディタ、ファイルマネージャー、TCP接続、その他多数
• スタブ機能 — クライアント名の変更、ディフェンダーの無効化、レジストリ名の変更、アンチキル、キー ロガーの有効化、その他多数
• パスワードリカバリー — ChromeとEdge
• RAT + HVNC — HVNC機能プラスリモートダウンロード＆実行

このような幅広い機能への簡単なナビゲーションのために、攻撃者は特定の目標を選択し、必要に応じてDDoSやランサムウェアのバイナリをコンパイルするための特別なダッシュボードを作成しました。

Borat RATは、RAT、ランサムウェア、DDoSツール、スパイウェアのオールインワンパックのユニークな組み合わせであるため、潜在的に非常に危険なマルウェアです。1つのトロイの木馬をインストールするだけで、敵は一連の攻撃を開始できます。デバイス制御をハイジャックするか、情報を盗むか、システム設定を変更するか、ファイルを削除するかを選べます。 SOC PrimeのDetection as Codeプラットフォーム は、即時の検出アイテムを作成・共有するために世界的に著名なサイバーセキュリティ専門家を団結させ、出現する脅威の先を常に進んでいけるようにする共同型サイバー防御アプローチを提供します。