ルールダイジェスト: CobaltStrike、APT10、およびAPT41

私たちは通常の ルールダイジェストをお届けします。これはSOCプライムチームによって開発されたルールのみで構成されています。これらのルールはすべて、中国政府に関連するAPTグループの悪意ある活動と、これらのグループがサイバースパイ活動でよく使用するCobaltStrikeツールを検出するのに役立つため、一種のテーマ別セレクションといえます。

しかし、ルールダイジェストに直接移る前に、Windows DNS サーバーの重大な脆弱性である CVE-2020-1350（別名 SIGRed）とその悪用を検出するための脅威ハンティングコンテンツにご注目ください。そのようなコンテンツに特化した特別なルールダイジェストをこちらで読むことができます： https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

可能な CobaltStrike PsExec ファイル名（監査経由）ルールは、予測可能な疑似ランダムなサービス命名スキームに基づいて CobaltStrike psexec の動作をすばやく特定するためのセキュリティソリューションを可能にします。CobaltStrikeは、デフォルトで7つのランダムな英数字の文字を使用した実行可能ファイル（例：28a3fe2.exe）を使用します。CobaltStrikeはしばしばAPT41グループによって使用されますが、他の多くの脅威アクターもこのツールを使用しているため、コミュニティルールはほとんどすべての組織にとって有用です。 https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

次のダイジェストを1週間後にお待ちください。

お気をつけて！

次の2つのルールはAPT41グループの活動を検出するためのものです。このグループは、この環境へのアクセスを維持するために複数のマルウェアファミリーを使用しており、観測されたキャンペーンではMimikatzが失敗した場合にACEHASHツールを使用しました。ACEHASHは、Mimikatz、hashdump、Windows Credential Editorなど複数のツールの機能を組み合わせた資格情報窃取およびパスワードダンピングユーティリティです。可能な APT41 ACEHASH 使用（cmdline 経由）ルールは、暗号化されたモジュールとしての彼らの過去の ACEHASH 使用のインスタンスに一致します。 https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

APT41 は、公開されているユーティリティ WMIEXEC を利用して、環境内を横移動することが頻繁にあります。WMIEXEC は、リモートマシンで WMI コマンドを実行するためのツールです。可能な APT41 WMIEXEC 使用（cmdline 経由）ルールは、このアクターが使用するインパケットのカスタマイズされたバージョンの WMIEXEC を検出します： https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

そして、最後の2つのルールは、別の中国グループである APT10（別名 menuPass）の活動を組織のネットワーク内で検出するのに役立ちます。APT10 は、中国のサイバースパイグループで、2009年から活動しており、これまでに米国、ヨーロッパ、日本の建設および工学、航空宇宙、通信会社、および政府を標的にしてきました。

過去のキャンペーンでは、攻撃者は悪意のあるマクロを使用して TXT ファイルをドロップし、その後同じマクロが Windows certutil.exe を使用してドロップされたファイルをデコードし、拡張ストレージエンジンユーティリティ（esentutil.exe）を使用して適切な拡張子でファイルのコピーを作成しました。可能な menuPass TTP .TXT （コマンドライン経由）の不通常のディレクトリのベースでのルールは、そのような活動を発見して攻撃を阻止することができます。 https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1

そして、本日の最後のルールは、この脅威アクターが RDP をプロキシするツールとして「proxyconnect」を使用したときにそれを検出するのに役立ちます。可能な menuPassハックツール proxyconnect （コマンドライン経由）ルールはここで入手できます： https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

ルールは次のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術： 実行、証明書アクセス、収集 

技術：サービスの実行 (T1569), 資格情報ダンプ (T1003)、PowerShell (T1086)、データステージ (T1074)