IOCルール: バンキングトロイの木馬 Grandoreiro

最近公開された記事「SIGMAと妥協の指標“では、当社のシニア脅威ハンティングエンジニアであるアダム・スワンが、IOCに基づくコンテンツよりもシグマルールを使用した脅威ハンティングの利点を示しています。 IOC シグマルールを無視することはできません。これらは妥協の事実を特定するのに役立ちます。また、すべての敵がすぐにはマルウェアを変更しないため、そのようなルールによって脅威を長期間検出できる可能性があります。本日は、エミール・エルドアンによる銀行トロイの木馬Grandoreiro に関するこれらのルールの 1 つを紹介します。 https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

グランドレイロは、ラテンアメリカの標的に対して使用される多くの銀行トロイの木馬の 1 つです。このマルウェアが最初に言及されたのは 2017 年で、攻撃者は当初、ペルーとブラジルでのみ配布していましたが、間もなくスペインやメキシコを標的リストに加え、攻撃の地理的範囲を拡大しました。Grandoreiro トロイの木馬は、偽の Java または Flash アップデートを提供するウェブサイトへのリンクを含むスパムメールを介して配布されます。パンデミックの始まり以来、攻撃者は彼らのキャンペーンで COVID-19 の恐怖を活用しています。

脅威検出は、以下のプラットフォームでサポートされています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 実行, 特権昇格, 防御回避, 持続性

技法: モジュールロードを通じた実行 (T1129), プロセス注入 (T1055), レジストリの実行キー/スタートアップフォルダー (T1060)

トロイの木馬は MsiExec.exe を悪用しており、このような動作を検出するためのいくつかのルールを提供します:

疑わしい MsiExec ディレクトリ フロリアン・ロスによる – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

MsiExec Web インストール フロリアン・ロスによる – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (cmdline 経由) スティーブン・カーターによる – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Msiexec.exe と Mavinject.exe のバイパス (LolBins) アリエル・ミラウエルによる – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

MsiExec の操作による c2 サーバーとの通信の確立 アリエル・ミラウエルによる – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/