위협 사냥 규칙: 골든 치킨 MaaS

[post-views]
7월 28, 2020 · 2 분 읽기
위협 사냥 규칙: 골든 치킨 MaaS

아시다시피, Malware-as-a-Service (MaaS)는 이미 흔해진 사업으로, 지하 포럼과 암시장에서 다양한 서비스를 제공하고 있습니다. Golden Chickens MaaS를 사용한 첫 번째 공격은 2017년에 시작되었으며, Cobalt 그룹이 그들의 첫 번째 “고객” 중 하나였습니다. 이 프로젝트의 성공은 고객에게 악성코드와 표적 공격에 필요한 인프라를 제공하는 특정 도구와 서비스에 크게 의존합니다. 

이번 봄에 악성코드 작성자들은 TerraLoader, VenomLNK, 그리고 more_eggs를 다시 한번 개선했으며, 여러 위협 행위자들이 이미 업데이트된 기능을 활용하고 있습니다. TerraLoader는 PureBasic으로 작성된 다목적 로더로, 새로운 변종은 다양한 문자열 난독화/비난독화, 무차별 대입 구현, 그리고 반분석 기술을 사용합니다. VenomLNK는 VenomKit 빌더 킷의 최신 버전으로 생성된 것으로 보이는 Windows 바로 가기 파일입니다. 현재는 새로운 볼륨 일련 번호, 발전된 실행 구조, 그리고 Windows 명령 프롬프트의 로컬 경로만을 사용합니다. 그리고 more_eggs 백도어는 실행이나 재시도를 위한 최소 지연 시간을 포함하고 메모리를 사용한 후 정리합니다.

새로운 커뮤니티 위협 사냥 Sigma는 Osman Demir 에 의해 Golden Chickens MaaS의 업데이트된 도구를 탐지하는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/9qsYmDO3UnAK/8tPCj3MBQAH5UgbBiEhf/?p=1

이 규칙에는 다음 플랫폼에 대한 번역이 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전술: 실행, 방어 회피, 지속성, 권한 상승

기술: Regsvr32 (T1117), 예약 작업 (T1053), 사용자 실행 (T1204)

 

SOC Prime TDM을 시도할 준비가 되셨습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신의 콘텐츠를 작성하고 TDM 커뮤니티와 공유하세요.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.