탐지 콘텐츠: GoldenHelper 행동

이번 주 “이번 주의 규칙” 섹션에서는 어떤 규칙도 강조하지 않을 것입니다. 왜냐하면 가장 주목받는 규칙들이 어제의 특별 다이제스트 에 이미 게시되었기 때문입니다. 이는 Windows DNS 서버의 치명적 취약성(CVE-2020-1350, SIGRed)의 악용을 탐지하는 규칙에 전념한 것입니다.

오늘의 출판물은 공식 소프트웨어에 포함된 GoldenHelper 악성코드 탐지에 전념합니다.  공격자들은 중국 은행들이 부가가치세 지불을 위해 요구하는 황금 세금 송장 소프트웨어(바이왕 에디션)에 악성코드를 숨겼습니다. GoldenHelper 악성코드는 전달 과정에서 이름 무작위화, 파일 시스템 위치 무작위화, 타임스탬프 조작, IP 기반 DGA(Domain Generation Algorithm), UAC 우회 및 권한 상승과 같은 정교한 기술을 사용하여 배포 방식, 존재 및 활동을 숨깁니다. 발견된 GoldenHelper 버전은 NouNou Technologies에 의해 디지털 서명되었으며 최종 페이로드를 드롭하도록 설계되었습니다. 연구원들은 믿습니다 이 악성코드를 배포하는 캠페인은 이미 끝났지만, 공격자들은 여전히 침해된 시스템에 설치된 최종 페이로드를 사용할 수 있으므로 GoldenHelper 악성코드의 흔적을 위해 로그를 확인할 것을 권장합니다. Ariel Millahuel의 새로운 규칙은 GoldenHelper 악성코드의 흔적뿐만 아니라 설치된 최종 페이로드도 찾도록 설계되었습니다: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 방어 회피

기법: 레지스트리 수정 (T1112)

SOC Prime TDM을 사용해 볼 준비가 되었습니까? 무료로 가입하기. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 작성하고 TDM 커뮤니티와 공유하세요.