Gh0stCringe RAT を検出する

[post-views]
3月 17, 2022 · 5 分で読めます
Gh0stCringe RAT を検出する

Gh0stCringe マルウェア:悪名高い Gh0st RAT の変種

Gh0stCringe(または CirenegRAT)マルウェアは Gh0st RAT のコードを基にしたもので、保護が不十分な Microsoft SQL および MySQL データベースサーバーを危険にさらしています。このリモートアクセス型トロイの木馬(RAT)は、最初に2018年12月に発見され、2020年には米国の政府および企業ネットワークに対する中国と関連のあるサイバースパイ攻撃で再浮上しました。この新しいマルウェアは、管理者パスワードが弱いデータベースサーバーを攻撃対象としています。

Gh0stCringe マルウェアの検出

効率的な Gh0stCringe RAT 検出のために、SOC Prime Threat Bounty Program の有能なメンバー Sittikorn Sangrattanapitak によって開発された以下の Sigma 規則を使用し、 Sittikorn Sangrattanapitak、システム内の疑わしい偵察活動をタイムリーに追跡します。

脆弱なデータベースサーバーで疑わしいプロセスを生成する Gh0stCringe RAT

この検出は以下の SIEM、EDR & XDR プラットフォームに対応しています:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearch。

このルールは、最新の MITRE ATT&CK® フレームワーク v.10 に準拠し、主要な技術として Exploit Public-Facing Application (T1190) を使用する初期アクセス戦術に対応しています。

他のシステム侵害の可能性を検出するために、 ルールの完全なリスト は、SOC Prime プラットフォームの Threat Detection Marketplace リポジトリで入手可能です。サイバーセキュリティの専門家は、Sigma 規則をコミュニティと共有し、定期的な報酬を得るために Threat Bounty プログラムに参加することが奨励されています。

検出を表示 Threat Bounty に参加する

Gh0stCringe RAT の分析

AhnLab の ASEC 研究者 は、MS-SQL、MySQL サーバーに対し、簡単に侵入可能なアカウント資格情報や未修正の脆弱性を利用する RAT マルウェアを明らかにしました。このマルウェアは Gh0stCringe と呼ばれ、cineregRAT としても知られ、Gh0st RAT の変種で、そのソースコードは公開されています。

報告によれば、脅威アクターは Gh0stCringe RAT を展開し、C2 サーバーにスムーズに接続してカスタムコマンドを受け入れたり、盗まれたデータを流出させたりします。最新のキャンペーンでは、mysqld.exe、mysqld-nt.exe、および sqlserver.exe プロセスを使用して、侵害されたシステムに悪意のある ‘mcsql.exe’ 実行ファイルを書き込むことで、データベースサーバーが侵害されます。

Gh0stCringe が展開されると、Internet Explorer ウェブブラウザを介して必要なウェブサイトにアクセスし、C2 サーバーから暗号マイナーのようなペイロードをダウンロードし、Windows システムおよびセキュリティ製品のデータを盗み、システムのマスターブートレコード (MBR) を破壊します。

Gh0stCringe RAT の展開により、感染したシステムからユーザー入力を乗っ取るキーロガーが提供されます。

このまたは今後のサイバー脅威から組織を保護するために、 SOC Prime の Detection as Code プラットフォームに登録してください。最新の脅威をセキュリティ環境内で検出し、ログソースおよび MITRE ATT&CK のカバレッジを改善し、攻撃に対してより簡単、迅速、効率的に防御を行います。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事