Smaugランサムウェア検出ツール（Sysmon挙動）

今日、私たちは比較的新しい脅威とその検出のためのコンテンツに注目していただきたいと思います。Smaug Ransomware-as-a-Serviceが研究者のレーダーに登場したのは2020年4月末で、攻撃者はロシア語のダークウェブフォーラムで専用のアフィリエイトを探し、大きな初期支払いとさらに20%の利益を条件に彼らのプラットフォームを提供しています。経験豊富なハッカーを惹きつけるために、いくつかのフォーラムでは、過去の成功を証明できるサイバー犯罪者には前金を免除することを提案しています。

ご想像の通り、このプロジェクトは存続し、マルウェアの単純さにもかかわらず、フォロワーを得ました。Smaugランサムウェアを使用するアフィリエイトは、キャンペーンを追跡し、組織や個人を攻撃するためのペイロードを作成できるダッシュボードにアクセスできます。SmaugはGolangで書かれており、研究者はWindowsとLinuxシステムの両方をターゲットにし、暗号化プロセス中にRSA公開キーを使用するサンプルを発見しました。ネットワーク接続不要で完全にオフラインで実行可能で、システムへの内部者攻撃を推奨しています。

Threat Bountyプログラムの参加者、 リー・アーキナル が、Smaugランサムウェアの特徴を検出する排他的な脅威ハンティングルールを発表しました： https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

ルールには次のプラットフォームへの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: インパクト

技術: インパクトのためのデータ暗号化 (T1486)

SOC Prime TDMを試す準備ができましたか？ 無料でサインアップ。または Threat Bountyプログラムに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。