脅威ハンティングルール: ゴールデンチキンズMaaS

[post-views]
7月 28, 2020 · 3 分で読めます
脅威ハンティングルール: ゴールデンチキンズMaaS

ご存知のように、Malware-as-a-Service (MaaS) は既に一般的になっており、地下フォーラムやブラックマーケットでサービスを提供しています。Golden Chickens MaaS を使った最初の攻撃は 2017年に始まり、Cobaltグループは彼らの最初の「クライアント」の一つでした。このプロジェクトの成功は、ターゲット攻撃に必要なマルウェアとインフラストラクチャを顧客に提供する特定のツールとサービスに大きく依存しています。

今春、マルウェア作者たちは再び TerraLoader、VenomLNK、および more_eggs を改良し、いくつかの脅威アクターが既に更新された機能を活用しています。TerraLoader は PureBasic で書かれた多目的ローダーで、その新しいバリアントは、異なる文字列の難読化/逆難読化、ブルートフォースの実装、そしてアンチ分析技術を使用します。VenomLNK は VenomKit ビルドキットの新しいバージョンによって生成された可能性のある Windows ショートカットファイルです。今では新しいボリュームシリアルナンバー、進化した実行スキーム、Windows コマンドプロンプトへのローカルパスのみを使用します。そして more_eggs バックドアは、アクションの実行または再試行前に最小の遅延を含め、使用後にメモリをクリーンアップします。

新しいコミュニティ脅威ハンティング Sigma による Osman Demir は、Golden Chickens MaaS の一部である更新されたツールを検出するのに役立ちます: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

このルールは次のプラットフォームに対する翻訳を持っています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

戦術: 実行, 回避, 持続性, 権限昇格

技法: Regsvr32 (T1117)、スケジュールされたタスク (T1053)、ユーザー実行 (T1204)

 

SOC Prime TDM を試してみませんか? 無料でサインアップ。または Threat Bounty Program に参加して 独自のコンテンツを作成し、TDM コミュニティと共有しましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。