이번 주의 규칙: 부니투 트로이 목마

오늘의 Rule of the Week 섹션에서는 Bunitu Proxy Trojan 샘플을 감지하는 데 도움을 주는 Ariel Millahuel의 새로운 위협 사냥 규칙을 강조하고자 합니다: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

Bunitu Trojan은 감염된 시스템을 원격 클라이언트의 프록시로 변환하는 데 사용됩니다. 이 악성 행동은 네트워크 트래픽을 느리게 할 수 있으며, 공격자는 종종 이를 도구로 사용하여 감염된 기계의 IP 주소를 우회시키고 악의적인 목적으로 오용합니다. 컴퓨터가 감염되면, Bunitu Trojan은 원격 연결을 위한 포트를 열고, 주소와 열린 포트 정보를 데이터베이스에 등록하며 노출된 포트에서 연결을 수락합니다.

공격자는 조직의 네트워크 내 감염된 시스템을 다양한 사기 계획에서 사용할 수 있으며, 이는 외부에서 볼 수 있는 감염된 기계의 IP이기 때문입니다. Bunitu Trojan 운영자는 이전에 악명 높은 RIG EK을 포함한 Exploit Kits를 사용하여 자주 배포했습니다. 이는 여전히 활발하게 활동하며, 제때 패치하기 어려운 기업 네트워크의 보안을 위협합니다.

악성 코드 작성자는 이 트로이 목마에 급격한 변화를 주지 않는 경우가 많으나, 여러 계층으로 이루어진 패킹은 Bunitu Trojan이 오랜 기간 탐지되지 않게 합니다. 따라서 커뮤니티 규칙을 사용하여 Ariel Millahuel 을 통해 조직의 네트워크에서 트로이 목마를 적시에 식별할 수 있습니다.

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 지속성 

기술: 모듈 로드를 통한 실행 (T1129), 레지스트리 실행 키 / 시작 폴더 (T1060)