Nanocore RAT 検出

Nanocore RATは約7年間にわたってサイバー攻撃に使用されており、このトロイの木馬の改変版は非常に多く存在します。公式、半公式、クラックされたバージョンのマルウェアがダークネットのフォーラムで販売されており、時には 無料で提供されることもあるので、それを使用した攻撃の数が高いままであることは驚くことではありません。 

Nanocore RATの設計は使いやすさに重点が置かれており、スキルの低い攻撃者でも本格的な悪意あるキャンペーンを実施することができます。このトロイの木馬はスパイ活動やシステムのリモート制御のための幅広い機能を備えており、感染したシステムへの完全なアクセスを提供します。また、攻撃者にオーディオやビデオの記録、キーロギング、資格情報や個人情報の収集を可能にします。

NanoCore RATには、マルウェアの性能を拡張し、脅威アクターが感染したシステムを完全かつ匿名で操作できると、ほぼ何でも可能にする基本プラグインが付属しています。 

Aytek Aytemurによる「NanoCore検出」の排他的Sigmaルールは、最近脅威賞金プログラムに参加した彼にとって最初の貢献の1つです： https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1

このルールは、以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行, 持続性, 特権昇格

技術: スケジュールされたタスク (T1053)

NanoCoreを見つけるために、脅威報奨プログラムの開発者による他のコンテンツをチェックしてください:

NanoCore Rat Detection (schtasksによる持続性) Emir Erdoganによる

Nanocoreの振る舞い (Powershell検出) Ariel Millahuelによる

SOC Prime TDMを試してみる準備ができていますか？ 無料でサインアップまたは 脅威賞金プログラムに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。