今週のルール：Bunitu トロイの木馬

今週のRule of the Weekセクションでは、Bunitu Proxy Trojanのサンプルを検出するのに役立つAriel Millahuelによる新しい脅威ハンティングルールを紹介したいと思います： https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

Bunitu Trojanは感染したシステムをリモートクライアントのプロキシに変えるために使用されます。その悪意のある行動はネットワークトラフィックを遅くすることがあり、攻撃者は感染したマシンのIPアドレスをルーティング変更して悪用するためのツールとしてしばしば使用します。コンピューターが感染すると、Bunitu Trojanはリモート接続用のポートを開き、アドレスとオープンポートに関する情報を送信することでデータベースに妥協したマシンを登録し、公開ポートでの接続を受け入れます。

攻撃者は感染したシステムを組織のネットワーク内で様々な詐欺スキームに利用することができ、感染したマシンのIPが外部から見えるため、しばしば利用されます。Bunitu Trojanの運営者は以前、悪名高いものを含むエクスプロイトキットを使用してこれを配布することがありました。 RIG EK、これはまだ存続しており、タイムリーなパッチ適用が困難な企業ネットワークのセキュリティを危険にさらします。

マルウェアの作者はこのトロイの木馬に大きな変更を加えることはあまりありませんが、多層から成るパッキングが使用されているため、Bunitu Trojanは長期間検出されないままでいることができます。したがって、コミュニティルールを使用することで Ariel Millahuel は組織のネットワーク内でこのトロイの木馬をタイムリーに特定するのに役立ちます。

このルールは以下のプラットフォーム用に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行、持続 

技術: モジュールロードによる実行 (T1129)、レジストリランキー/スタートアップフォルダ (T1060)