Nanocore RAT 탐지

Nanocore RAT는 약 7년 동안 사이버 공격에 사용되어 왔으며, 이 트로이 목마의 변형은 엄청나게 많습니다. 이 악성코드의 공식, “반공식” 및 크랙된 버전은 다크넷의 포럼에서 판매되고 때때로 무료로배포되기도 하므로, 이를 사용하는 공격의 수가 여전히 높은 것이 놀랍지 않습니다. 

Nanocore RAT의 설계는 사용의 용이성에 중점을 두고 있어 기술이 부족한 적대자들도 완전한 악성 캠페인을 수행할 수 있습니다. 이 트로이 목마는 시스템의 스파이 활동과 원격 제어를 위한 넓은 범위의 기능을 가지고 있으며, 감염된 시스템에 완전한 접근을 제공하며, 적대자들이 오디오 및 비디오 녹음, 키로그, 자격 증명 및 기타 개인 정보 수집을 할 수 있도록 합니다.

NanoCore RAT는 악성코드의 성능 기능을 확장하고 위협 행위자들이 감염된 시스템에 완전하고 익명의 통제권을 얻으면 원하는 모든 것을 할 수 있는 기본 플러그인을 함께 제공합니다. 

독점 Sigma 규칙 “NanoCore 감지”는 최근 Threat Bounty Program에 합류한 Aytek Aytemur의 첫 기여 중 하나입니다: https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전략: 실행, 지속성, 권한 상승

기술: 스케줄된 작업 (T1053)

Threat Bounty Program 개발자들의 더 많은 콘텐츠를 확인하여 NanoCore를 탐지하세요:

NanoCore RAT 감지 (schtasks를 통한 지속성) by Emir Erdogan

Nanocore 동작 (Powershell 감지) by Ariel Millahuel

SOC Prime TDM을 사용해 볼 준비가 되셨습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.