検出コンテンツ: Ursnifトロイの木馬活動の検出

Emir Erdoganによる『プロセスインジェクション by Ursnif (Dreambot マルウェア)』専用ルールがThreat Detection Marketplaceで公開されました: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

Ursnifバンキングトロイの木馬は、約13年間にわたり攻撃者によって様々な改変が行われており、常に新しい機能を追加し、セキュリティソリューションを回避する新しいトリックを習得しています。そのソースコードは2014年にリークされ、それ以来、UrsnifはしばしばTop 10マルウェアチャートに登場し、様々な トロイの木馬の改変が 世界中で使用され、感染したシステムでの機密バンキング情報や資格情報の窃取に利用されています。このルールにより、Ursnifが不正なプロセスに自らを注入する際に検出することが可能になります。トロイの木馬を初期段階で検出することで、データの窃盗を防ぎ、危険にさらされる可能性のある資格情報を特定できます。

Emir Erdoganは、SOC Primeの Threat Bounty Developerプログラムの最も活発な参加者の1人です。2019年9月から、彼は100以上のコミュニティ及び専用ルールを公開し、その高いコンテンツの品質とセキュリティの関連性でTDMユーザーの注目を集めました。

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK®: 

戦術: 実行、資格情報アクセス、防御回避、特権エスカレーション

技術: コマンドラインインターフェイス (T1059)、ファイル内資格情報 (T1081)、プロセス注入 (T1055)、Rundll32 (T1085)

Threat Detection MarketplaceのMITRE ATT&CK®セクションで、Ursnifバンキングトロイの木馬が使用する他の戦術を探ることができます: https://tdm.socprime.com/att-ck/