탐지 콘텐츠: Netwire RAT 탐색하기

NetWire는 사이버 범죄자들이 2012년부터 사용해 온 NetWiredRC 악성코드 계열의 일환인 공개적으로 이용 가능한 원격 액세스 트로이 목마입니다. 주요 기능은 자격 증명 탈취와 키로깅에 중점을 두지만, 원격 제어 기능도 있습니다. 공격자들은 종종 악성 스팸 및 피싱 이메일을 통해 NetWire를 배포합니다. 

최근 캠페인에서 사이버 범죄자들은 독일 사용자들을 대상으로 독일 택배, 소포 및 특급 우편 서비스 DHL로 가장한 피싱 이메일을 전송했습니다. 공격자들은 악성 첨부물로 MS Excel 문서를 사용했습니다. 이는 Pastebin에서 두 개의 파일을 다운로드하고 DLL 파일을 디코딩하기 위해 문자 대체를 수행하는 PowerShell 명령을 활성화하고, 난독화된 NetWire RAT를 다운로드한 다음 디코딩된 DLL을 사용하여 합법적인 프로세스에 트로이 목마를 주입합니다. 

Osman Demir의 새로운 위협 사냥 규칙은 악성 파일 다운로드를 위한 PowerShell 명령 및 합법적인 Windows 파일에 대한 프로세스 주입을 밝혀냅니다.

paste.ee와 MS Excel을 통한 Netwire RAT – https://tdm.socprime.com/tdm/info/999rWf0zExpC/YyFoJ3IBjwDfaYjKeoqF/?p=1

규칙은 다음 플랫폼들에 대해 번역이 되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 명령 및 제어

기술: 원격 액세스 도구 (T1219)

커뮤니티 규칙도 확인할 수 있습니다. WScript를 통한 Netwire RAT 탐지: https://tdm.socprime.com/tdm/info/uI7Og7wR6TUZ/SDkzRW4BLQqskxffI-01/