脅威ハンティングコンテンツ: 偽のWindowsエラーログにおける悪意のあるペイロード

[post-views]
6月 23, 2020 · 3 分で読めます
脅威ハンティングコンテンツ: 偽のWindowsエラーログにおける悪意のあるペイロード

先週、セキュリティ研究者が 発見しました 悪意のあるペイロードを直接目立たずに隠す興味深い方法を発見し、この方法は実際に使用されています。攻撃者は偽のエラーログを使用して、16進数の値に偽装されたASCII文字を保存し、スクリプトベースの攻撃の準備をするために設計された悪意のあるペイロードにデコードされるようにしています。

発見されたシナリオでは、サイバー犯罪者はシステムを侵害し、持続性を達成した後に新しい方法を適用しました。その後、アプリケーション用のWindowsエラーログを模倣した.chk拡張子のファイルを使用しました。最初の見た目には、このファイルは疑わしくないように見えます。なぜなら、タイムスタンプがあり、Windowsの内部バージョン番号への参照が含まれているからです。しかし、各行の末尾にはASCII文字の10進数表現があります。このようなファイルはセキュリティソリューションの疑念を引き起こさず、ユーザーは正当なものと考えるでしょう。実際、この偽のエラーログは次の攻撃ステップのためにコマンド&コントロールサーバーに接触するエンコードされたスクリプトを隠しています。このスクリプトはスケジュールされたタスクを使用して実行され、2つの名前が変更された正規のWindowsバイナリであるmshta.exeとpowershell.exeが使用されます。攻撃者は、インストールされたブラウザ、セキュリティ製品、POSソフトウェアに関する詳細を収集するためにスクリプトを使用します。 オスマン・デミル が開発した専用の脅威ハンティングルールが、悪意のあるペイロードを含む偽のWindowsエラーログを発見するのに役立ちます: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1

 

このルールは以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: ディフェンスエージェント回避

技術: 擬態 (T1036)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。