検出コンテンツ: GoldenHelperの挙動

今週は「今週のルール」セクションで特定のルールを強調しません、なぜなら最も注目されるルールは昨日の 特別ダイジェスト で既に公開されているからです。これには、Windows DNSサーバーの深刻な脆弱性、CVE-2020-1350（別名SIGRed）の悪用を検出するルールが含まれています。

本日の公開は、公式ソフトウェアに埋め込まれたGoldenHelperマルウェアの検出に専念しています。攻撃者は、付加価値税の支払いのために中国の銀行が必要とするGolden Tax Invoicing Software（Baiwang版）にマルウェアを隠しました。GoldenHelperマルウェアは、その配信、存在、活動を隠すために高度な技術を利用しています。GoldenHelperが使用する興味深い技術には、転送中の名前のランダム化、ファイルシステムの場所のランダム化、タイムスタンピング、IPベースのDGA（ドメイン生成アルゴリズム）、UACバイパス、権限昇格が含まれます。発見されたGoldenHelperのバージョンは、NouNou Technologiesによってデジタル署名され、最終ペイロードをドロップするように設計されていました。研究者は 信じています このマルウェアを配布するキャンペーンはすでに終了しているが、攻撃者はまだ脆弱なシステムにインストールされた最終ペイロードを利用する可能性があるので、GoldenHelperマルウェアの痕跡をログで確認することが推奨されます。 アリエル・ミラウェルの新しいルールは、GoldenHelperマルウェアの痕跡だけでなく、インストールされた最終ペイロードも見つけるように設計されています： https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

このルールには、次のプラットフォームへの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術： 防御回避

技術：レジストリの修正 (T1112)

SOC Prime TDMを試してみる準備はできましたか？ 無料で登録。または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティで共有してください。