Buer 로더를 탐지할 수 있게 하는 Ariel Millahuel이 만든 새로운 커뮤니티 규칙은 Threat Detection Marketplace에서 사용할 수 있습니다: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/
Buer는 모듈식 로더로, 지난 여름 말 처음 발견되었으며 그 후 이 악성코드는 언더그라운드 마켓플레이스에서 적극적으로 홍보되고 있습니다. Proofpoint 연구원들은 추적한 여러 캠페인에서 Buer 로더가 피싱 이메일과 악성 첨부 파일, 익스플로잇 키트를 통해 유포되었습니다. 이 악성코드는 C로 작성되었으며, 전적으로 메모리에 상주하여 실행되고, 32비트 및 64비트 Windows 시스템 모두에 감염될 수 있습니다. Buer 로더는 HTTPS를 통해 통신하며, 분석 방해 기능으로 인해 매우 인기가 있습니다. 이 악성코드의 기능은 지난 Rule Digest에서 언급된 Smoke Loader와 유사합니다: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/
Ariel Millahuel은 약 200개의 독점 및 커뮤니티 Sigma 규칙의 저자입니다. 그는 2019년 가을에 Threat Bounty Program 에 참여하였고 그 이후로 커뮤니티 개발에 적극적으로 참여하고 있습니다. Ariel과의 인터뷰는 당사 웹사이트에 게시되어 있습니다: https://socprime.com/blog/interview-with-developer-ariel-millahuel/
다음 플랫폼에 대해 위협 탐지가 지원됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 지속성
기술: 레지스트리 실행 키 / 시작 폴더 (Е1060), Winlogon 도움말 DLL (Е1004)
