脅威ハンティングルール: Ave Maria RAT

今日の記事は多少続きのようなものです 検出コンテンツ：Arkei Stealer というのも、Ave Maria RAT の検出ルールの作成者が同じであり、両方のマルウェアが最近Spamhaus Botnetを利用して活発に拡散されているからです。

Ave Mariaはリモートアクセス型トロイの木馬で、攻撃者が感染したシステムを乗っ取り、リモートコントロール機能を有効にするためによく使われます。このトロイの木馬は2018年に悪意のあるフィッシングキャンペーンを通じて拡散が確認されており、その後も感染システム上での存在が増加しています。Ave Maria RATは、典型的なトロイの木馬スパイ以上の機能を備えています。UACのバイパスやプロセストークンを使用して権限を昇格させ、それを行うと、PowerShellコマンドレットを実行してWindows Defenderの設定を変更し、特定のパスをリアルタイムでスキャンから除外します。

最近リリースされたSigmaルールにより Lee Archinal は、Windowsシステム上の新しいAve Mariaマルウェアのインスタンスを検出することができます。 https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

このルールは以下のプラットフォーム向けに翻訳されています：

SIEM： Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR：Carbon Black, Elastic Endpoint

MITRE ATT&CK：

タクティクス：持続性

テクニック：レジストリ実行キー / スタートアップフォルダー (T1060)

SOC Prime TDMを試してみますか？ 無料でサインアップ。もしくは Threat Bounty Programに参加 して自分のコンテンツを作成し、TDMコミュニティと共有しましょう。