Buer 로더의 흔적을 발견하기 위한 위협 탐지 콘텐츠

[post-views]
4월 27, 2020 · 1 분 읽기
Buer 로더의 흔적을 발견하기 위한 위협 탐지 콘텐츠

Buer 로더를 탐지할 수 있게 하는 Ariel Millahuel이 만든 새로운 커뮤니티 규칙은 Threat Detection Marketplace에서 사용할 수 있습니다: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer는 모듈식 로더로, 지난 여름 말 처음 발견되었으며 그 후 이 악성코드는 언더그라운드 마켓플레이스에서 적극적으로 홍보되고 있습니다. Proofpoint 연구원들은 추적한 여러 캠페인에서 Buer 로더가 피싱 이메일과 악성 첨부 파일, 익스플로잇 키트를 통해 유포되었습니다. 이 악성코드는 C로 작성되었으며, 전적으로 메모리에 상주하여 실행되고, 32비트 및 64비트 Windows 시스템 모두에 감염될 수 있습니다. Buer 로더는 HTTPS를 통해 통신하며, 분석 방해 기능으로 인해 매우 인기가 있습니다. 이 악성코드의 기능은 지난 Rule Digest에서 언급된 Smoke Loader와 유사합니다: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel은 약 200개의 독점 및 커뮤니티 Sigma 규칙의 저자입니다. 그는 2019년 가을에 Threat Bounty Program 에 참여하였고 그 이후로 커뮤니티 개발에 적극적으로 참여하고 있습니다. Ariel과의 인터뷰는 당사 웹사이트에 게시되어 있습니다: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

다음 플랫폼에 대해 위협 탐지가 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 지속성

기술: 레지스트리 실행 키 / 시작 폴더 (Е1060), Winlogon 도움말 DLL (Е1004)

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.