今週は「今週のルール」セクションで特定のルールを強調しません、なぜなら最も注目されるルールは昨日の 特別ダイジェスト で既に公開されているからです。これには、Windows DNSサーバーの深刻な脆弱性、CVE-2020-1350(別名SIGRed)の悪用を検出するルールが含まれています。
本日の公開は、公式ソフトウェアに埋め込まれたGoldenHelperマルウェアの検出に専念しています。攻撃者は、付加価値税の支払いのために中国の銀行が必要とするGolden Tax Invoicing Software(Baiwang版)にマルウェアを隠しました。GoldenHelperマルウェアは、その配信、存在、活動を隠すために高度な技術を利用しています。GoldenHelperが使用する興味深い技術には、転送中の名前のランダム化、ファイルシステムの場所のランダム化、タイムスタンピング、IPベースのDGA(ドメイン生成アルゴリズム)、UACバイパス、権限昇格が含まれます。発見されたGoldenHelperのバージョンは、NouNou Technologiesによってデジタル署名され、最終ペイロードをドロップするように設計されていました。研究者は 信じています このマルウェアを配布するキャンペーンはすでに終了しているが、攻撃者はまだ脆弱なシステムにインストールされた最終ペイロードを利用する可能性があるので、GoldenHelperマルウェアの痕跡をログで確認することが推奨されます。 アリエル・ミラウェルの新しいルールは、GoldenHelperマルウェアの痕跡だけでなく、インストールされた最終ペイロードも見つけるように設計されています: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/
このルールには、次のプラットフォームへの翻訳があります:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
戦術: 防御回避
技術:レジストリの修正 (T1112)
SOC Prime TDMを試してみる準備はできましたか? 無料で登録。または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティで共有してください。
