Conteúdo de Detecção: Encontrando Atividade do Trojan Ursnif

[post-views]
Abril 28, 2020 · 2 min de leitura
Conteúdo de Detecção: Encontrando Atividade do Trojan Ursnif

A regra exclusiva ‘Injeção de Processo pelo Ursnif (Malware Dreambot)’ de Emir Erdogan é lançada no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ 

O trojan bancário Ursnif tem sido usado por adversários em várias modificações por cerca de 13 anos, constantemente ganhando novos recursos e adquirindo novos truques para evitar soluções de segurança. Seu código-fonte foi vazado em 2014, e desde então, o Ursnif frequentemente aparece nos gráficos dos 10 principais malwares, e várias modificações do trojan são usadas mundialmente para roubar informações bancárias sensíveis e credenciais no sistema infectado. Esta regra permite que sua solução detecte o Ursnif quando ele se injeta no processo falso. Detectar o trojan em um estágio inicial evitará o roubo de dados e determinará credenciais que poderiam ser comprometidas.

Emir Erdogan é um dos participantes mais ativos do programa de desenvolvedores SOC Prime Threat Bounty. A partir de setembro de 2019, ele publicou mais de 100 regras comunitárias e exclusivas que chamaram a atenção dos usuários do TDM devido à alta qualidade do conteúdo e relevância em segurança.

 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK®

Táticas: Execução, Acesso a Credenciais, Evasão de Defesa, Escalação de Privilégios

Técnicas: Interface de Linha de Comando (T1059), Credenciais em Arquivos (T1081), Injeção de Processo (T1055), Rundll32 (T1085)

Você pode explorar outras táticas usadas pelo trojan bancário Ursnif na seção MITRE ATT&CK® no Threat Detection Marketplace: https://tdm.socprime.com/att-ck/

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.