Detectar o RAT Gh0stCringe
Índice:
Gh0stCringe Malware: Variante do Notório Gh0st RAT
O malware Gh0stCringe, ou CirenegRAT, baseado no código do Gh0st RAT, está de volta, comprometendo servidores de banco de dados Microsoft SQL e MySQL mal protegidos. Este trojan de acesso remoto (RAT) foi avistado pela primeira vez em dezembro de 2018, e ressurgiu em 2020 em ataques de ciberespionagem ligados à China contra redes governamentais e corporativas nos EUA. O novo malware é usado contra servidores de banco de dados com senhas de administrador fracas.
Detecção de Malware Gh0stCringe
Para uma detecção eficiente do Gh0stCringe RAT, use a regra Sigma abaixo desenvolvida pelo talentoso membro do Programa Threat Bounty da SOC Prime Sittikorn Sangrattanapitak, para acompanhar ativamente qualquer atividade de reconhecimento suspeita no seu sistema:
Gh0stCringe RAT Gerando Processo Suspeito em Servidores de Banco de Dados Vulneráveis
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com Técnica de Exploração de Aplicação com Face Pública (T1190) como a técnica primária.
Para detectar outras possíveis compromissos do sistema, veja a lista completa de regras disponível no repositório Threat Detection Marketplace da plataforma SOC Prime. Os experts em cibersegurança são muito bem-vindos para se juntarem ao programa Threat Bounty para compartilhar regras Sigma curadas com a comunidade e receber recompensas recorrentes.
Visualizar Detecções Junte-se ao Threat Bounty
Análise do Gh0stCringe RAT
Pesquisadores da AhnLab’s ASEC revelaram que malware RAT está mirando servidores MS-SQL, MySQL com credenciais de conta fáceis de comprometer ou vulnerabilidades não corrigidas. O malware apelidado de Gh0stCringe, também conhecido como cineregRAT, é uma variante do Gh0st RAT, com seu código-fonte liberado publicamente. Relata-se que atores de ameaça estão implantando o Gh0stCringe RAT que se conecta suavemente ao servidor C2 para aceitar comandos personalizados ou exfiltrar dados roubados. Na campanha mais recente, adversários comprometem servidores de banco de dados, usando os processos mysqld.exe, mysqld-nt.exe e sqlserver.exe para gravar o executável malicioso ‘mcsql.exe’ no disco dos sistemas invadidos.
Após sua implantação, o Gh0stCringe é utilizado para acessar sites necessários via o navegador web Internet Explorer, baixar cargas como mineradores de criptomoedas de servidores C2, roubar dados do sistema Windows e de produtos de segurança, e destruir o Registro Mestre de Inicialização (MBR) do sistema.
A implantação do Gh0stCringe RAT entrega um keylogger que sequestra entradas de usuário do sistema infectado.
Para proteger sua organização desta ou de qualquer ameaça cibernética futura, registre-se na
plataforma Detection as Code da SOC Prime . Detecte as ameaças mais recentes dentro do seu ambiente de segurança, melhore a fonte de logs e a cobertura do MITRE ATT&CK, e defenda-se contra ataques de maneira mais fácil, rápida e eficiente.. Detect the latest threats within your security environment, improve log source and MITRE ATT&CK coverage, and defend against attacks easier, faster, and more efficiently.
