ルールダイジェスト。APT & マルウェア: 今週公開されたコンテンツ

[post-views]
5月 02, 2020 · 6 分で読めます
ルールダイジェスト。APT & マルウェア: 今週公開されたコンテンツ

今週、当社チームとSOC Primeの参加者の両方によるマルウェアとAPT活動を検出するためのルールが注目されました。 Threat Bountyプログラム ダイジェストでは、先週の間に公開された興味深いルールにご注目いただくよう努めています。

 

APT StrongPity アリエル・ミラウエルによる

https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1

StrongPity APT(別名:Promethium)は、正当なソフトウェアの毒されたインストーラーを悪用して被害者を感染させ、この専用ルールはそのような行動を暴く手助けをします。APTグループは少なくとも2012年以来サイバースパイ活動を行っており、主にヨーロッパと北アフリカを攻撃してきました。StrongPityスパイ活動APTは追跡が非常に困難で、攻撃では署名されたモジュラーマルウェアを使用し、またゼロデイ脆弱性を利用することでも知られています。

 

ダブル拡張子を持つ可能性のある悪意のあるLNKファイル(cmdlineを介して) SOC Primeチームによるhttps://tdm.socprime.com/tdm/info/lwTxvspCLlJF/Mwm5vHEBAq_xcQY4MuED/?p=1

「ルール・オブ・ザ・ウィーク」の見出しの下で類似のルールに注目してきました。 今週のルールおよび、ダブル拡張子の誤用はWindowsユーザーにとって深刻な脅威であると考えています。これにより、EXEと同じくらい頻繁に悪用されるLNK拡張子の疑わしい使用が明らかになります。LNKファイルはアンチウイルスソリューションにとってあまり疑わしくなく、ユーザーがそれを開くと、リモートでダウンロードされたスクリプトが実行される可能性があり、これが敵対者が被害者を感染させる最も経済的な方法の一つです。

 

疑わしいプロセスアクセス(sysmon経由) SOC Primeチームによるhttps://tdm.socprime.com/tdm/info/S34YfAqmYUYv/oIstvXEB1-hfOQiro-2_/?p=1

このルールは、システムプロセスへの異常な場所からの疑わしいアクセスを追跡し、システム上の悪意のある活動を示す可能性があることを示します。このような活動は調査すべきであり、誤検知を避けるために、すべてのイベントを確認し、ホワイトリストを構築する必要があります。

 

RSATまたは管理者権限なしでADモジュールを使用した可能性のあるActive Directoryの列挙(powershell経由) SOC Primeチームによる https://tdm.socprime.com/tdm/info/dsqELFx5ckXR/OsJb0G0BEiSx7l0HXZMS/?p=1

敵対者はRSATを使用してDLLをシステムから取得し、列挙したいシステムにそれをドロップし、単にモジュールとしてそのDLLをインポートするだけです。このルールを使用すると、タイムリーにこれを検出し、サイバー攻撃の初期段階を明らかにすることができます。

 

Chthonicバンキングトロイの木馬 アリエル・ミラウエルによる

https://tdm.socprime.com/tdm/info/LBnEPGjxVeGO/j-bEwHEBv8lhbg_ijYGH/?p=1

このルールは、Zeusの亜種であるChthonicの新しいインスタンスを検出し、トロイの木馬はZeusVMの進化型と思われますが、いくつかの重要な変更を受けています。ChthonicはAndromedaボットと同じ暗号化プログラム、Zeus AESトロイの木馬とZeus V2トロイの木馬と同様の暗号化スキーム、およびZeusVMやKINSマルウェアで使用される仮想マシンを使用します。

 

このコレクションのルールには、以下のプラットフォームへの翻訳があります:

SIEM:Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、Logpoint、Humio、RSA NetWitness

EDR:Windows Defender ATP、Carbon Black、CrowdStrike、Elastic Endpoint

NTA:Corelight

これらのルールは、MITRE ATT&CKの以下の戦術と技術に関連しています:

戦術:初期アクセス、実行、権限昇格、防御回避、探索。

技術:スピアフィッシング添付ファイル(T1193)、レジストリの変更(T1112)、プロセス注入(T1055)、アカウント探索(T1087)、コマンドラインインターフェース(T1059)

また、今週 Threat Detection Marketplaceに主要なアップデートがありました、HumioとCrowdStrikeの2つの新しいプラットフォームのサポートの追加、そしてそれらへの翻訳が含まれています。本日までに、プラットフォーム上で利用可能なルールの数は57,000を超えました!

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。