脅威ハンティングコンテンツ: AsyncRat検出

本日、 Threat Hunting コンテンツ のカラムの下で、あなたの興味を高めるために AsyncRAT 検出 (Sysmon 動作) コミュニティルールを Emir Erdoganによって。ルールは sysmon ログを使用して AsyncRat を検出することを可能にします。

GitHub 上の プロジェクトによると、AsyncRat は安全な暗号化接続を通じて他のコンピュータをリモートで監視および制御するために設計されたリモートアクセスツールであり、教育目的のためにのみ作成されました。プロジェクトページには、悪意のある目的でこのツールを使用することを禁止する法的免責事項さえありますが、それが攻撃者を止める時がいつあったのでしょうか？

AsyncRAT のコードは GitHub ページで公開されており、経験豊富な脅威アクターの手にかかれば非常に脅威となるツールとして機能します。ほとんどのリモートアクセス型トロイの木馬と大差はありませんが、そのコードが公開されており、熟練していないサイバー犯罪者でも攻撃に使用でき、より経験豊富な攻撃者はオープンソースコードを基に独自のマルウェアを作成できます。

敵対者は AsyncRat を利用して資格情報や他の機密データを盗み、ビデオやオーディオを記録し、メッセージングサービス、Web ブラウザ、FTP クライアントから情報を収集することができます。さらに、このツールは感染したシステム上でファイルのダウンロードおよびアップロードが可能であり、高度な攻撃のために追加のマルウェアを展開することができます。

この「リモートアクセスツール」を検出する脅威ハンティングコンテンツは、Threat Detection Marketplace で利用可能です： https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

このルールは以下のプラットフォームに対応しています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio、

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK：

戦術：防御回避、特権昇格、持続性、実行

技術：コード署名 (T1116)、プロセスインジェクション (T1055)、レジストリ実行キー / スタートアップフォルダー (T1060)、スケジュールされたタスク (T1053)