Buer Loaderの痕跡を発見するための脅威ハンティングコンテンツ

Buerローダーの検出を可能にするAriel Millahuelによる新しいコミュニティルールが、Threat Detection Marketplaceで利用可能です： https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buerは、昨年の夏の終わりに初めて発見されたモジュール化されたローダーで、その後、このマルウェアは地下市場で積極的に宣伝されています。Proofpointの研究者は 追跡しました Buerローダーを拡散する複数のキャンペーンは、悪意のある添付ファイルやエクスプロイトキットを含むフィッシングメールで拡散されていました。このマルウェアはC言語で作成され、完全に常駐メモリで動作し、32ビットおよび64ビットのWindowsシステムの両方に感染することができます。BuerローダーはHTTPSを介して通信し、その解析回避能力のために非常に人気があります。このマルウェアの能力は、過去のRule Digestで言及されたSmoke Loaderに似ています： https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuelは約200の独占およびコミュニティSigmaルールの著者です。彼は2019年の秋に Threat Bounty Program に参加し、それ以来コミュニティ開発に積極的に関与しています。Arielとのインタビューは私たちのウェブサイトで公開されています： https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Threat Detectionは次のプラットフォームをサポートしています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 永続性

技術: レジストリ実行キー/スタートアップフォルダ（E1060）、WinlogonヘルパーDLL（E1004）