脅威ハンティングコンテンツ: Bladabindiバックドアの発見

Bladabindiバックドアは少なくとも2013年から知られており、その作者はサイバーセキュリティのトレンドを監視し、検出を防ぐためにバックドアを改良しています: 彼らは再コンパイルし、リフレッシュし、リハッシュしており、IOCベースの検出コンテンツはほとんど役に立たなくなっています。2018年には、Bladabindiバックドアはファイルレス化され、njRAT / Njw0rmマルウェアによって配信される二次ペイロードとして使用されました。このバックドアは攻撃を受けた組織全体に広がるためにUSBドライブを感染させます。敵対者はBladabindiを使用して機密データを盗み、追加のツールをダウンロードして実行し、資格情報を収集します。また、バックドアやキーロガーとしても使用されます。

アリエル・ミラウェルは最近の発見に基づいてこのマルウェアの特性を検出するために脅威ハンティングSigmaルールを作成し、Threat Detection Marketplaceで公開しました。 https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

アリエルはDeveloper Programで最も活発な貢献者の一人であり、 今月のトップ10コンテンツ作成者です。 4月には、APTグループの活動や最近の攻撃で使用されたさまざまなマルウェアを検出するために50以上のSigmaルールを公開しました。

アリエル・ミラウェルへのインタビュー: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

アリエルが提出したコンテンツを探る: https://tdm.socprime.com/?authors=ariel+millahuel

以下のプラットフォームでThreat Detectionがサポートされています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 実行, 防御回避 

技術: コマンドラインインターフェース (T1059), セキュリティツールの無効化 (T1089), レジストリの変更 (T1112)