脅威ハンティングコンテンツ: CertReq.exe Lolbin

Living off the Land バイナリ (Lolbins) は、正当な目的を超えてアクションを実行するために高度な敵対者によって悪用されることが多い正当なバイナリです。サイバー犯罪者は、マルウェアのダウンロード、持続性の確保、データ抽出、横方向への移動などに積極的に使用しています。つい昨日、Evil Corp グループの攻撃を検出するルールについて書きましたが、これも Lolbins を使用して、組織の最大数のシステムに WastedLocker ランサムウェアを展開しています。

CertReq.exe は Windows に存在し、その使用目的は証明書の作成およびインストールを支援することです。サイバー犯罪者によって過度に悪用される Lolbins の一つではありませんが、セキュリティソリューションの注目を引かずに悪意のあるアクションを実行するために使用できます。サイバー犯罪者は CertReq.exe を使用して小さなファイルをアップロードおよびダウンロードできます。HTTP POST 経由でファイルをアップロードしたり、HTTP POST 経由でファイルをダウンロードしてディスクに保存したり、内容を表示したりできます。CertReq.exe の悪用についてさらに知りたい場合は こちらをご覧ください.

Den Iuzvik は、CertReq.exe を使用した可能性のあるファイルのアップロード/ダウンロードを検出する新しい脅威ハンティング Sigma ルールを開発およびリリースしました: https://tdm.socprime.com/tdm/info/BBbpPolVZpLp/SJcgLnMBQAH5UgbBoihF/?p=1

このルールは以下のプラットフォーム向けに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: コマンドおよびコントロール

技術: リモートファイルコピー (T1105)

SOC Prime TDM を試してみませんか？ 無料でサインアップまたは 脅威バウンティプログラムに参加 して、独自のコンテンツを作成し、TDM コミュニティと共有しましょう。