위협 탐지 콘텐츠: SamoRAT 행동

오늘 위협 사냥 콘텐츠 섹션에서 주목할 점은 Threat Detection Marketplace에 의해 출시된 커뮤니티 규칙입니다: Ariel Millahuel 이 규칙은 SamoRAT 멀웨어의 새로운 샘플을 탐지합니다: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

이 원격 액세스 트로이 목마는 연구원들에 의해 최근에 모습을 드러냈으며, 첫 번째 SamoRAT 샘플은 약 한 달 전에 발견되었습니다. 이 트로이 목마는 .NET 기반의 멀웨어로, 주로 사이버 범죄자들이 감염된 시스템에서 다양한 명령을 수신하고 실행하는 데 사용됩니다. 다른 원격 액세스 트로이 목마처럼, SamoRAT은 다른 멀웨어와 도구를 다운로드하고 실행할 수 있습니다.

SamoRAT은 자신이 AV 시스템에 의해 분석될 때 감지하기 위한 안티 분석 검사를 사용하여, 백신 소프트웨어에 의해 경보가 울리지 않도록 동작을 변경할 수 있게 합니다. 이 트로이 목마는 Windows Defender 프로세스를 중지하고, 레지스트리를 편집하여 기능을 비활성화함으로써 실행 중에 탐지를 피할 수 있습니다.  또한 PowerShell 명령을 실행하여 Windows Defender의 추가 기능을 비활성화할 수 있습니다. SamoRAT은 예약 작업 또는 Windows 레지스트리 수정(시작 시 실행을 위한 관리자 권한 여부에 의존함)을 통해 지속성을 확보합니다. 발판을 얻은 후, 멀웨어는 POST 요청을 보내어 명령 및 제어 서버에 자신을 등록하고, 명령 수신 준비가 되었음을 같은 주소에 한 번 더 POST 요청을 보냅니다. 

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 지속성

기법: 레지스트리 실행 키 / 시작 폴더 (T1060)

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 TDM 커뮤니티와 자신의 콘텐츠를 제작하여 공유하세요.