이번 주, Lee Archinal님은 위협 바운티 프로그램 기고자로서 또 다른 정보 탈취자를 탐지하는 커뮤니티 Sigma 규칙을 게시했습니다. “Immortal Stealer (Sysmon Behavior)” 규칙은 등록 후 위협 탐지 마켓플레이스에서 다운로드할 수 있습니다: https://tdm.socprime.com/tdm/info/V0Q03WX81XBY/dEM_SXQBSh4W_EKGVbX_/?p=1
Immortal Infostealer는 다른 빌드 기반의 구독 옵션과 함께 다크 웹 포럼에 1년이 조금 넘은 시기에 등장했습니다. 이는 저장된 로그인 자격 증명, 신용 카드 데이터, 쿠키 파일 및 자동 완성 데이터를 탈취하도록 설계된 .NET으로 작성된 일반적인 악성 소프트웨어입니다. 감염 직후, 이 악성 소프트웨어는 임시 폴더에 무작위 이름을 가진 디렉토리를 생성합니다.
Immortal Stealer는 24개의 브라우저에서 데이터를 추출하고, Telegram 및 Discord에서 세션 관련 파일을 탈취하며, 암호화폐 지갑 소프트웨어와 관련된 파일을 복사하고, 데스크톱의 스크린 샷을 찍을 수 있는 능력을 가지고 있습니다. “작업”이 완료되면, 악성 소프트웨어는 탈취한 데이터를 ZIP 아카이브로 압축하여 명령 및 제어 서버로 유출하고 악의적인 활동의 흔적을 제거하려고 시도합니다.
이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 방어회피
기법: 파일 삭제 (T1107), 레지스트리 수정 (T1112)
SOC Prime TDM을 시도해볼 준비가 되셨습니까? 무료 가입. 또는 위협 바운티 프로그램 가입 하여 자체 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.
