A regra exclusiva ‘Injeção de Processo pelo Ursnif (Malware Dreambot)’ de Emir Erdogan é lançada no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/
O trojan bancário Ursnif tem sido usado por adversários em várias modificações por cerca de 13 anos, constantemente ganhando novos recursos e adquirindo novos truques para evitar soluções de segurança. Seu código-fonte foi vazado em 2014, e desde então, o Ursnif frequentemente aparece nos gráficos dos 10 principais malwares, e várias modificações do trojan são usadas mundialmente para roubar informações bancárias sensíveis e credenciais no sistema infectado. Esta regra permite que sua solução detecte o Ursnif quando ele se injeta no processo falso. Detectar o trojan em um estágio inicial evitará o roubo de dados e determinará credenciais que poderiam ser comprometidas.
Emir Erdogan é um dos participantes mais ativos do programa de desenvolvedores SOC Prime Threat Bounty. A partir de setembro de 2019, ele publicou mais de 100 regras comunitárias e exclusivas que chamaram a atenção dos usuários do TDM devido à alta qualidade do conteúdo e relevância em segurança.
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint
EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK®:
Táticas: Execução, Acesso a Credenciais, Evasão de Defesa, Escalação de Privilégios
Técnicas: Interface de Linha de Comando (T1059), Credenciais em Arquivos (T1081), Injeção de Processo (T1055), Rundll32 (T1085)
Você pode explorar outras táticas usadas pelo trojan bancário Ursnif na seção MITRE ATT&CK® no Threat Detection Marketplace: https://tdm.socprime.com/att-ck/
