今日の記事は多少続きのようなものです 検出コンテンツ:Arkei Stealer というのも、Ave Maria RAT の検出ルールの作成者が同じであり、両方のマルウェアが最近Spamhaus Botnetを利用して活発に拡散されているからです。
Ave Mariaはリモートアクセス型トロイの木馬で、攻撃者が感染したシステムを乗っ取り、リモートコントロール機能を有効にするためによく使われます。このトロイの木馬は2018年に悪意のあるフィッシングキャンペーンを通じて拡散が確認されており、その後も感染システム上での存在が増加しています。Ave Maria RATは、典型的なトロイの木馬スパイ以上の機能を備えています。UACのバイパスやプロセストークンを使用して権限を昇格させ、それを行うと、PowerShellコマンドレットを実行してWindows Defenderの設定を変更し、特定のパスをリアルタイムでスキャンから除外します。
最近リリースされたSigmaルールにより Lee Archinal は、Windowsシステム上の新しいAve Mariaマルウェアのインスタンスを検出することができます。 https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1
このルールは以下のプラットフォーム向けに翻訳されています:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR:Carbon Black, Elastic Endpoint
MITRE ATT&CK:
タクティクス:持続性
テクニック:レジストリ実行キー / スタートアップフォルダー (T1060)
SOC Prime TDMを試してみますか? 無料でサインアップ。もしくは Threat Bounty Programに参加 して自分のコンテンツを作成し、TDMコミュニティと共有しましょう。
