Regra IOC: Trojan Bancário Grandoreiro

Um artigo recentemente publicado “SIGMA vs Indicadores de Compromisso” por Adam Swan, nosso Engenheiro Chefe de Caça a Ameaças, demonstra os benefícios das regras de caça a ameaças Sigma sobre o conteúdo baseado em IOCs. Embora não possamos descartar as regras Sigma de IOC, já que elas podem ajudar a identificar um fato de comprometimento, além disso, nem todos os adversários fazem mudanças rapidamente em seus malwares, e, portanto, tais regras podem detectar uma ameaça por um longo tempo. Hoje, analisamos uma dessas regras – Banking Trojan Grandoreiro por Emir Erdogan: https://tdm.socprime.com/tdm/info/oNvknYovxCIF/CglI33EBAq_xcQY4Rvvc/?p=1

Grandoreiro é um dos muitos trojans bancários usados contra alvos na América Latina. A primeira menção a este malware apareceu em 2017, quando os atacantes o distribuíam apenas no Peru e no Brasil, mas logo os cibercriminosos expandiram a geografia dos ataques, adicionando Espanha e México à lista de alvos. O trojan Grandoreiro é distribuído via e-mails de spam contendo um link para um site que oferece atualizações falsas de Java ou Flash. Desde o início da pandemia, os atacantes têm usado ativamente o medo em torno do COVID-19 em suas campanhas.

A Detecção de Ameaças é suportada para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Execução, Elevação de Privilégio, Evasão de Defesa, Persistência

Técnicas: Execução através de Carregamento de Módulo (T1129), Injeção de Processo (T1055), Chaves de Registro de Execução / Pasta de Inicialização (T1060)

O trojan se aproveita do MsiExec.exe e oferecemos várias regras para detectar tal comportamento:

Diretório Suspeito do MsiExec por Florian Roth – https://tdm.socprime.com/tdm/info/sPtJr5zlR7VX/4MWfiW4BUORkfSQhFWEb/

Instalação Web do MsiExec por Florian Roth – https://tdm.socprime.com/tdm/info/T5M5JJ1YfyiQ/H8JNRW4BEiSx7l0HQ_Nn/

LOLBAS msiexec (via cmdline) por Steven Carter – https://tdm.socprime.com/tdm/info/dmhwrenaVeXE/xcWI1W4BUORkfSQhaZkh/

Bypass de Msiexec.exe e Mavinject.exe (LolBins) por Ariel Millahuel – https://tdm.socprime.com/tdm/info/ZcbZs2X4rVua/oUJjp24ByU4WBiCt_kFv/

Manipulação de Msiexec para estabelecer comunicação com um servidor c2 por Ariel Millahuel – https://tdm.socprime.com/tdm/info/89tMxuOXpDmC/_cp_C3ABTfY1LRoXM8hW/