위협 사냥 규칙: 아베 마리아 RAT

오늘의 기사는 어느 정도 이어지는 내용입니다 탐지 콘텐츠: Arkei Stealer Ave Maria RAT의 탐지 규칙 작성자가 동일하며, 최근 Spamhaus Botnet을 사용해 두 악성 도구가 활발히 전파되고 있기 때문입니다. 

Ave Maria는 감염된 시스템을 장악하고 원격 제어 기능을 활성화하기 위해 공격자가 자주 사용하는 원격 액세스 트로이 목마입니다. 이 트로이 목마는 2018년 악성 피싱 캠페인을 통해 처음 전파되었으며, 이후 감염된 시스템에서 존재가 증가하고 있습니다. Ave Maria RAT는 일반적인 트로이 목마 스파이보다 더 많은 기능을 갖추고 있습니다. 이 트로이 목마는 UAC 우회 및 프로세스 토큰을 사용하여 자신의 권한을 상승시킵니다. 그런 다음 PowerShell cmdlet을 실행하여 Windows Defender의 설정을 수정하고 특정 경로를 실시간 검사에서 제외합니다. 

최근 발표된 Sigma 규칙은 Lee Archinal 에 의해 Windows 시스템에서 새로운 Ave Maria 맬웨어 인스턴스를 감지할 수 있도록 합니다: https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 지속성

기법: 레지스트리 실행 키 / 시작 폴더 (T1060)

SOC Prime TDM을 사용해 볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신만의 콘텐츠를 만들고 TDM 커뮤니티와 공유하세요.