탐지 콘텐츠: Ursnif 트로이목마 활동 찾기

Emir Erdogan의 ‘Process Injection by Ursnif (Dreambot Malware)’ 전용 규칙이 Threat Detection Marketplace에 출시되었습니다: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

Ursnif 뱅킹 트로이 목마는 대략 13년 동안 다양한 변종으로 공격자들에 의해 사용되었으며, 끊임없이 새로운 기능을 추가하고 보안 솔루션을 피하는 새로운 기술을 습득해 왔습니다. 이 소스 코드는 2014년에 유출되었으며, 그 이후 Ursnif는 자주 Top 10 Malware 차트에 오르면서, 다양한 트로이 목마의 변종들이 전 세계적으로 사용되어 감염된 시스템에서 민감한 뱅킹 정보와 자격 증명을 탈취하고 있습니다. 이 규칙은 Ursnif가 자신을 악성 프로세스에 주입할 때 이를 탐지할 수 있게 합니다. 트로이 목마를 조기에 탐지함으로써 데이터 도난을 방지하고 손상될 수 있는 자격 증명을 파악할 수 있습니다.

Emir Erdogan는 SOC Prime Threat Bounty Developer 프로그램에 가장 활발히 참여하는 참가자 중 한 명입니다. 2019년 9월부터 그는 100개 이상의 커뮤니티 및 독점 규칙을 발표하여 높은 콘텐츠 품질과 보안 관련성 때문에 TDM 사용자들의 관심을 끌었습니다.

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK®: 

전술: 실행, 자격 증명 접근, 방어 회피, 권한 상승

기술: 명령줄 인터페이스 (T1059), 파일 내 자격 증명 (T1081), 프로세스 주입 (T1055), Rundll32 (T1085)

Threat Detection Marketplace의 MITRE ATT&CK® 섹션에서 Ursnif 뱅킹 트로이 목마가 사용하는 다른 전술을 탐색할 수 있습니다: https://tdm.socprime.com/att-ck/