위협 사냥 콘텐츠: AsyncRat 탐지

오늘날, 위협 사냥 컨텐츠 컬럼에서는 귀하의 관심을 높이기 위해 AsyncRAT 탐지 (Sysmon 동작) 커뮤니티 규칙을 Emir Erdogan가 작성하였습니다. 이 규칙은 sysmon 로그를 사용하여 AsyncRat 을 탐지할 수 있게 합니다.

GitHub의 프로젝트에 의하면, AsyncRat은 원격 교육 목적으로만 만들어진 안전한 암호화 연결을 통해 다른 컴퓨터를 원격으로 모니터링하고 제어하도록 설계된 원격 액세스 도구입니다. 프로젝트 페이지에는 악의적인 사용을 금지하는 법적 면책 조항도 포함되어 있지만, 언제부터 이것이 공격자들을 막았나요? 

AsyncRAT의 코드는 GitHub 페이지에 공개되어 있으며, 경험 많은 위협 행위자의 손에 들리면 매우 위협적인 도구가 될 수 있습니다. 대부분의 원격 액세스 트로이와 크게 다르지 않지만, 그 코드는 공개되어 있으며, 무능한 사이버 범죄자조차도 공격에 사용할 수 있고, 경험이 더 많은 공격자는 오픈 소스 코드를 기반으로 자신만의 악성 코드를 만들 수 있습니다. 

적대자는 AsyncRat을 사용하여 자격 증명 및 기타 민감한 데이터를 훔치고, 비디오와 오디오를 녹화하며, 메시징 서비스, 웹 브라우저 및 FTP 클라이언트에서 정보를 수집할 수 있습니다. 또한, 도구는 감염된 시스템에서 파일을 다운로드하고 업로드할 수 있어 고급 공격을 위해 추가 악성 코드를 배포할 수 있습니다.

이 “원격 액세스 도구”를 탐지하는 위협 사냥 콘텐츠는 Threat Detection Marketplace에서 이용할 수 있습니다: https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

이 규칙은 다음 플랫폼에 대한 번역이 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 방어 회피, 권한 상승, 지속성, 실행

기법: 코드 서명 (T1116), 프로세스 주입 (T1055), 레지스트리 실행 키 / 시작 폴더 (T1060), 예약 작업 (T1053)