脅威ハンティングルール: Redaman RAT

[post-views]
7月 30, 2020 · 3 分で読めます
脅威ハンティングルール: Redaman RAT

今日は、Threat Hunting Rulesカテゴリにおいて、新たに開発されたルールを Ariel Millahuelによって発表できることを嬉しく思います。このルールはRedaman RATを検出します: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

Redamanはフィッシングキャンペーンによって配布される銀行型トロイの木馬の一種です。2015年に初めて確認され、RTMバンキングトロイの木馬として報告され、2017年と2018年にRedamanの新バージョンが現れました。2019年9月に研究者たちは、 新しいバージョンを特定し ビットコインブロックチェーン内のPony C&CサーバーのIPアドレスを隠すために一度も使用されたことのない技術を利用していました。このトロイの木馬は、ビットコインブロックチェーンに接続し、トランザクションを連鎖させることで隠されたC&Cサーバーを見つけます。

最近発見されたRadamanトロイの木馬のバージョンは、新しい振る舞いを示しています。これは、ルート証明書を改ざんし、rundll32実行を悪用して悪意のあるファイルを展開することに関連しています。このマルウェアはマルスパムキャンペーンでよく使用され、そのため作者たちは常にそれを改善し、新しいトリックを教えています。

 

このルールは以下のプラットフォームに対する翻訳を持っています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 実行, 防御回避, 永続性, 特権昇格

技法: ルート証明書のインストール (T1130), スケジュールタスク (T1053)

 

SOC Prime TDMを試してみませんか? 無料でサインアップ。または Threat Bounty Programに参加して 独自のコンテンツを作成し、TDMコミュニティと共有しましょう。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事

実行戦術 | TA0002
ブログ, 最新の脅威 — 11 分で読めます
実行戦術 | TA0002
Daryna Olyniychuk
EvilnumグループによるPyVil RAT
ブログ, 最新の脅威 — 3 分で読めます
EvilnumグループによるPyVil RAT
Eugene Tkachenko
JSOutProx RAT
ブログ, 最新の脅威 — 4 分で読めます
JSOutProx RAT
Eugene Tkachenko