Esta semana não destacaremos nenhuma regra na seção “Regra da Semana”, porque as regras mais quentes já foram publicadas no digest especial de ontem dedicado às regras que detectam a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecida como SIGRed).
A publicação de hoje é dedicada à detecção do malware GoldenHelper que foi incorporado em software oficial. Os adversários esconderam o malware no Software de Faturamento de Impostos Dourados (Edição Baiwang), exigido pelos bancos chineses para o pagamento de impostos sobre o IVA. O malware GoldenHelper utiliza técnicas sofisticadas para esconder sua entrega, presença e atividade. Algumas das técnicas interessantes que GoldenHelper utiliza incluem a randomização do nome durante o trânsito, randomização do local do sistema de arquivos, timestomping, DGA (Algoritmo de Geração de Domínio) baseado em IP, bypass de UAC e escalonamento de privilégios. As versões descobertas do GoldenHelper foram assinadas digitalmente pela NouNou Technologies e projetadas para liberar uma carga final. Pesquisadores acreditam que a campanha para distribuir este malware já terminou, mas os atacantes ainda podem utilizar a carga final instalada em sistemas comprometidos, por isso é recomendável verificar os logs em busca de vestígios do malware GoldenHelper. A nova regra de Ariel Millahuelfoi projetada não apenas para encontrar vestígios do malware GoldenHelper, mas também da carga final instalada: https://tdm.socprime.com/tdm/info/mPVslo9HzEDd/RrAXV3MBQAH5UgbBJ2aR/
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Evasão de Defesa
Técnicas: Modificar Registro (T1112)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou participe do Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade do TDM.
