Detecção do Nanocore RAT

[post-views]
Setembro 04, 2020 · 2 min de leitura
Detecção do Nanocore RAT

O Nanocore RAT tem sido usado em ciberataques por cerca de 7 anos, e há um grande número de modificações desse trojan. Versões oficiais, “semi-oficiais” e crackeadas desse malware são vendidas em fóruns na DarkNet, e às vezes até distribuídas gratuitamente, então não é surpreendente que o número de ataques utilizando-o continue alto. , so it is not surprising that the number of attacks using it remains high. 

O design do Nanocore RAT é focado na facilidade de uso, o que significa que até mesmo adversários não qualificados podem conduzir campanhas maliciosas completas. O trojan possui uma ampla gama de capacidades para espionagem e controle remoto do sistema, proporcionando acesso total ao sistema infectado, além de permitir que os adversários gravem áudio e vídeo, realizem keylogging, coletem credenciais e outras informações pessoais.

O NanoCore RAT vem com plugins base que ampliam a capacidade de desempenho do malware e permitem que os atores de ameaça façam praticamente qualquer coisa que desejarem uma vez que obtenham controle completo e anônimo sobre sistemas infectados. 

A regra Sigma exclusiva “NanoCore detection” é uma das primeiras contribuições de Aytek Aytemur, que recentemente se juntou ao Programa Threat Bounty: https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Execução, Persistência, Escalada de Privilégio

Técnicas: Tarefa Agendada (T1053)

 

 

Confira mais conteúdo dos desenvolvedores do Programa Threat Bounty para detectar o NanoCore:

Detecção do NanoCore Rat (Persistência via schtasks) por Emir Erdogan

 

Comportamento do Nanocore (Detecção via Powershell) por Ariel Millahuel



Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Backdoor MQsTTang: Novo Malware Personalizado pelo Mustang Panda APT Usado Ativamente na Última Campanha Contra Entidades Governamentais
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Backdoor MQsTTang: Novo Malware Personalizado pelo Mustang Panda APT Usado Ativamente na Última Campanha Contra Entidades Governamentais
Daryna Olyniychuk
Detecção do MagicWeb: NOBELIUM APT Usa Bypass de Autenticação Sofisticado
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do MagicWeb: NOBELIUM APT Usa Bypass de Autenticação Sofisticado
Anastasiia Yevdokimova
Detecção de Malware no PyPi: Roubando Tokens do Discord para Espalhar Malware
Ameaças Mais Recentes, Blog — 3 min de leitura
Detecção de Malware no PyPi: Roubando Tokens do Discord para Espalhar Malware
Anastasiia Yevdokimova