IOC 규칙: 뱅킹 트로이 목마 Grandoreiro

최근 발표된 기사 “SIGMA vs Indicators of Compromise“는 우리의 수석 위협 사냥 엔지니어인 Adam Swan이 작성한 것으로, IOCs 기반 콘텐츠에 비해 Sigma 규칙을 사용한 위협 사냥의 이점을 보여줍니다. IOC Sigma 규칙을 무시할 수는 없는 것은, 그것들이 침해의 사실을 식별하는 데 도움을 줄 수 있기 때문입니다. 더욱이 모든 상대가 멀웨어를 신속히 변경하지는 않기 때문에, 이런 규칙은 오랫동안 위협을 감지할 수 있습니다. 오늘 우리는 이러한 규칙 중 하나인 Emir Erdogan의 Banking Trojan Grandoreiro를 살펴봅니다: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro는 라틴 아메리카의 대상들을 공격하는 많은 은행 트로이목마 중 하나입니다. 이 멀웨어에 대한 첫 언급은 2017년에 나왔으며, 당시 공격자들은 페루와 브라질에서만 배포했지만, 곧 사이버 범죄자들은 스페인과 멕시코를 공격 대상 목록에 추가하며 공격의 지리적 범위를 확장했습니다. Grandoreiro 트로이목마는 가짜 Java 또는 Flash 업데이트를 제공하는 웹사이트 링크가 포함된 스팸 이메일을 통해 배포됩니다. 팬데믹이 시작된 이후, 공격자들은 COVID-19에 대한 두려움을 그들의 캠페인에서 적극적으로 이용해 왔습니다.

위협 탐지는 다음 플랫폼에서 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 실행, 권한 상승, 방어 회피, 지속성

기술: 모듈 로드를 통한 실행 (T1129), 프로세스 인젝션 (T1055), 레지스트리 실행 키 / 시작 폴더 (T1060)

트로이목마는 MsiExec.exe를 오용하며, 우리는 이러한 행동을 탐지하기 위한 여러 규칙을 제공합니다:

의심스러운 MsiExec 디렉토리 Florian Roth 작성 – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

MsiExec 웹 설치 Florian Roth 작성 – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (cmdline을 통해) Steven Carter 작성 – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Msiexec.exe와 Mavinject.exe 우회 (LolBins) Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Msiexec을 조작하여 C2 서버와의 통신을 설정 Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/