ルールダイジェスト:RCE、CVE、OilRig など

[post-views]
5月 16, 2020 · 7 分で読めます
ルールダイジェスト:RCE、CVE、OilRig など

このダイジェストには、Threat Bounty ProgramのメンバーとSOC Prime Teamの両方のルールが含まれています。

では、Arunkumar Krishnaによるルールから始めましょう。彼のルールは私たちのルールダイジェストにデビューします。 CVE-2020-0932: Microsoft SharePointにおけるリモートコード実行の脆弱性.

CVE-2020-0932は4月にパッチが当てられ、認証されたユーザーがSharePointサーバー上で任意のコードを実行できるようにします。SharePointのデフォルト設定は、認証されたユーザーがこの脆弱性を利用可能にしています。このようなバグは過去に攻撃者に人気がありましたので、エクスプロイト試行を発見するルールを持つことが役立ちます。 https://tdm.socprime.com/tdm/info/zzrJT94vXLN2/4iG6EnIBjwDfaYjKDnwP/

Arunkumarはこの脆弱性のエクスプロイトを追跡するYARAルールも投稿しました。 https://tdm.socprime.com/tdm/info/vMZFVxJCHsrf/2uapEnIBv8lhbg_iH76X/

Emir Erdoganは今週パッチが適用された非常に新しい脆弱性のためのルールを発表しました – Print Spooler特権昇格のためのPowershellコマンド (CVE-2020-1048). 攻撃者はこの脆弱性を悪用し、システム特権を持つ任意のコードを実行してマルウェアをインストールしたり、データを修正したり、フルユーザー権限を持つ新しいアカウントを作成したりできます。また、特権を昇格させたり、EDRルールを回避したり、持続的な存在を得たりすることも可能です。このセキュリティ欠陥のためのPoCエクスプロイトも利用可能です。

Emir Erdoganによるルールはコミュニティルールであり、登録済みのTDMユーザー全員が利用できます。こちらを確認: https://tdm.socprime.com/tdm/info/durVnL5VeTW2/d4y1EnIB1-hfOQirFzA6/

私たちのダイジェストの次のルールは私たちの最も活発な Threat Bounty Program のメンバーによって提出され、彼のルールは毎週ブログに登場します。彼のインタビューを読むことができます こちら。Ariel Millahuelによる新しいコミュニティルールが Oilrig サイバースパイ活動を発見します。

OilrigグループはAPT34やHelix Kittenとしても知られており、2014年以降イラン政府の利益のためにサイバー攻撃を行ってきました。彼らは中東で最も活発ですが、今年はアーセナルを更新して、 アメリカ政府機関を攻撃しています。セキュリティ研究者はこのAPTグループに関連する新しいツールを定期的に発見しています。Arielによって発表されたルールは最近の発見に基づいており、貴社のネットワークでOilrigグループの活動を検出できます: https://tdm.socprime.com/tdm/info/Nvw0NkZgaA6d/JCEsoXEBjwDfaYjK9SI6/

SOC Prime Teamによるこのルールはドメインコントローラー(DC)に対するDCShadow攻撃を検出します。攻撃者はMimikatzの機能を使用してアクティブディレクトリのDCを偽造し、複製を通じて正当なDCに変更を加えることができます。この攻撃に関する詳細をお読みください: https://attack.stealthbits.com/how-dcshadow-persistence-attack-works

ダウンロードのためのリンク 可能性のあるDCShadow攻撃(監査経由) ここで独占的なルール: https://tdm.socprime.com/tdm/info/i7cPkU1ko5H7/ATk-0G0BLQqskxffBI6L/

今日のダイジェストの最後のルールは 永続性のための可能性のあるREG.EXEの使用(cndline経由) SOC Prime Teamによるものです。最新の高度なマルウェアはしばしば 持続性やファイルレス実行のためにWindowsレジストリを使用し ます。このルールは妥協したホストに定着しようとする試みを検出します: https://tdm.socprime.com/tdm/info/eri0Ie3zVuoB/hSGzwXEBjwDfaYjKpEI5/?p=1

このコレクションのルールは以下のプラットフォーム向けに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

NTA: Corelight

 

MITRE ATT&CK: 

戦術: 防御回避、横移動、コマンド&コントロール、初期アクセス、認証情報アクセス、特権の昇格、実行

技術: アプリケーションアクセスのトークン (T1527) データの難読化 (T1001), 公開されているアプリケーションのエクスプロイト (T1190)、認証情報アクセスのためのエクスプロイト (T1212), 特権昇格のためのエクスプロイト (T1068)、リモートサービスのエクスプロイト (T1210)、ファイルとディレクトリの権限修正 (T1222)、間接コマンド実行 (T1202)、InstallUtil (T1118)、難読化されたファイルまたは情報 (T1027)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
EvilnumグループによるPyVil RAT
ブログ, 最新の脅威 — 3 分で読めます
EvilnumグループによるPyVil RAT
Eugene Tkachenko
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko