Conteúdo de Detecção: Comportamento do GoldenHelper

Esta semana não destacaremos nenhuma regra na seção “Regra da Semana”, porque as regras mais quentes já foram publicadas no digest especial de ontem dedicado às regras que detectam a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecida como SIGRed).

A publicação de hoje é dedicada à detecção do malware GoldenHelper que foi incorporado em software oficial.  Os adversários esconderam o malware no Software de Faturamento de Impostos Dourados (Edição Baiwang), exigido pelos bancos chineses para o pagamento de impostos sobre o IVA. O malware GoldenHelper utiliza técnicas sofisticadas para esconder sua entrega, presença e atividade. Algumas das técnicas interessantes que GoldenHelper utiliza incluem a randomização do nome durante o trânsito, randomização do local do sistema de arquivos, timestomping, DGA (Algoritmo de Geração de Domínio) baseado em IP, bypass de UAC e escalonamento de privilégios. As versões descobertas do GoldenHelper foram assinadas digitalmente pela NouNou Technologies e projetadas para liberar uma carga final. Pesquisadores acreditam que a campanha para distribuir este malware já terminou, mas os atacantes ainda podem utilizar a carga final instalada em sistemas comprometidos, por isso é recomendável verificar os logs em busca de vestígios do malware GoldenHelper. A nova regra de Ariel Millahuelfoi projetada não apenas para encontrar vestígios do malware GoldenHelper, mas também da carga final instalada: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Evasão de Defesa

Técnicas: Modificar Registro (T1112)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade do TDM.