脅威ハンティングコンテンツ: SamoRATの挙動

今日の脅威ハンティングコンテンツセクションでは、Threat Detection Marketplaceでリリースされたコミュニティルールに注目したいと思います。 アリエル・ミラウェル が、SamoRATマルウェアの新しいサンプルを検出します： https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

このリモートアクセス型トロイの木馬がレーダーに現れたのは 研究者 最近であり、初めてSamoRATのサンプルが発見されたのは約1か月前でした。このトロイの木馬は.NETベースのマルウェアであり、サイバー犯罪者が感染システム上で様々なコマンドを受信および実行するために使用します。他のリモートアクセス型トロイの木馬と同様に、他のマルウェアやツールをダウンロードして実行する能力も持っています。

SamoRATは、AVシステムによって解析されているときにその振る舞いを変えることでアラームがトリガーされないようにするアンチ解析チェックを利用しています。このトロイの木馬は、Windows Defenderプロセスを停止し、レジストリを編集してその機能を無効化することで実行時の検出を回避する機能を持っています。また、Windows Defenderの追加機能を無効化するためのPowerShellコマンドを実行することも可能です。SamoRATは、スケジュールされたタスクまたはWindowsレジストリの変更（スタートアップ時に実行するための管理者権限に依存）を通じて永続性を獲得します。足がかりを得た後、POSTリクエストを送信してコマンド・アンド・コントロールサーバーに自身を登録し、そのアドレスに対してもう一度POSTリクエストを行い、コマンド受信の準備ができていることを示します。

このルールは、次のプラットフォーム用に翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術： 永続性

技術: レジストリランキー/スタートアップフォルダ (T1060)

SOC Prime TDMを試してみませんか？ 無料でサインアップまたは Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。