脅威ハンティングルール: Redaman RAT

今日は、Threat Hunting Rulesカテゴリにおいて、新たに開発されたルールを Ariel Millahuelによって発表できることを嬉しく思います。このルールはRedaman RATを検出します： https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redamanはフィッシングキャンペーンによって配布される銀行型トロイの木馬の一種です。2015年に初めて確認され、RTMバンキングトロイの木馬として報告され、2017年と2018年にRedamanの新バージョンが現れました。2019年9月に研究者たちは、 新しいバージョンを特定し ビットコインブロックチェーン内のPony C&CサーバーのIPアドレスを隠すために一度も使用されたことのない技術を利用していました。このトロイの木馬は、ビットコインブロックチェーンに接続し、トランザクションを連鎖させることで隠されたC&Cサーバーを見つけます。

最近発見されたRadamanトロイの木馬のバージョンは、新しい振る舞いを示しています。これは、ルート証明書を改ざんし、rundll32実行を悪用して悪意のあるファイルを展開することに関連しています。このマルウェアはマルスパムキャンペーンでよく使用され、そのため作者たちは常にそれを改善し、新しいトリックを教えています。

このルールは以下のプラットフォームに対する翻訳を持っています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行, 防御回避, 永続性, 特権昇格

技法: ルート証明書のインストール (T1130), スケジュールタスク (T1053)

SOC Prime TDMを試してみませんか？ 無料でサインアップ。または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。