위협 탐지 콘텐츠: Bladabindi 백도어 발견하기

Bladabindi 백도어는 적어도 2013년부터 알려져 있으며, 작성자들은 사이버 보안 트렌드를 모니터링하고 백도어 탐지를 방지하기 위해 개선합니다: 이를 다시 컴파일하고, 새롭게 하며, 다시 해시하기 때문에, IOCs 기반 탐지 콘텐츠는 거의 쓸모가 없습니다. 2018년에 Bladabindi 백도어는 파일리스가 되었고 njRAT / Njw0rm 악성코드에 의해 전달된 2차 페이로드로 사용되었습니다. 백도어는 USB 드라이브를 감염시켜 공격받은 조직 내에서 확산됩니다. 공격자들은 Bladabindi를 사용하여 민감한 데이터를 훔치고, 추가 도구를 다운로드 및 실행하며, 자격 증명을 수집하고, 또한 백도어와 키로거로 사용합니다.

Ariel Millahuel은 이 악성코드의 특징을 포착하기 위해 최근 발견을 기반으로 위협 헌팅 Sigma 규칙을 작성하여 Threat Detection Marketplace에 공개했습니다. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

Ariel은 개발자 프로그램에서 가장 활동적인 기여자 중 한 명으로, 이번 달 상위 10명 콘텐츠 작성자 입니다. 4월에는 최근 공격에서 사용된 APT 그룹의 활동과 다양한 악성코드를 탐지하기 위한 50개 이상의 Sigma 규칙을 게시했습니다.

Ariel Millahuel과의 인터뷰: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Ariel이 제출한 콘텐츠 탐색: https://tdm.socprime.com/?authors=ariel+millahuel

위협 탐지는 다음 플랫폼에서 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 실행, 방어 회피 

기법: 명령줄 인터페이스 (T1059), 보안 도구 비활성화 (T1089), 레지스트리 수정 (T1112)