Digesto de Regras: CobaltStrike, APT10 e APT41

[post-views]
Julho 18, 2020 · 4 min de leitura
Digesto de Regras: CobaltStrike, APT10 e APT41

Temos o prazer de apresentar a você o regular Digest de Regras, que consiste em regras desenvolvidas exclusivamente pela equipe da SOC Prime. Este é um tipo de seleção temática, uma vez que todas essas regras ajudam a encontrar atividades maliciosas de grupos APT ligados ao governo chinês e à ferramenta CobaltStrike, frequentemente usada por esses grupos em campanhas de espionagem cibernética.

Mas antes de avançar diretamente para o Digest de Regras, queremos chamar sua atenção para uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecido como SIGRed) e conteúdo de caça às ameaças para detectar sua exploração. Você pode ler nosso digest de regras especial dedicado a esse conteúdo aqui: https://socprime.com/blog/threat-hunting-rules-to-detect-exploitation-of-cve-2020-1350-sigred/

A regra Possíveis nomes de arquivo CobaltStrike PsExec (via auditoria) permite que soluções de segurança identifiquem rapidamente o comportamento do psexec CobaltStrike com base em seu esquema previsível de nomeação pseudoaleatória de serviços. O CobaltStrike usa executáveis com 7 caracteres alfanuméricos aleatórios por padrão (por exemplo, 28a3fe2.exe). O CobaltStrike é frequentemente usado pelo grupo APT41, mas muitos outros agentes de ameaça também utilizam essa ferramenta, portanto, a regra comunitária será útil em quase todas as organizações: https://tdm.socprime.com/tdm/info/1aX2L06wVHuN/W6usTnMBQAH5UgbBwjB2/?p=1

Aguarde o próximo digest em uma semana.

Fique seguro!

As duas regras a seguir são para detectar a atividade do grupo APT41. Este grupo utiliza várias famílias de malware para manter o acesso a este ambiente, e em campanhas observadas eles usaram a ferramenta ACEHASH nos casos em que o Mimikatz falhou. ACEHASH é uma utilidade de roubo de credenciais e despejo de senhas que combina a funcionalidade de várias ferramentas, como Mimikatz, hashdump e Windows Credential Editor. A regra Possível uso do ACEHASH APT41 (via linha de comando) corresponde a instâncias de uso anterior do ACEHASH como módulo criptografado: https://tdm.socprime.com/tdm/info/TZrew9P8Lrpe/XNKzTXMBPeJ4_8xc3wK_/?p=1

 

APT41 frequentemente usa a utilidade disponível publicamente WMIEXEC para mover-se lateralmente através de um ambiente. WMIEXEC é uma ferramenta que permite a execução de comandos WMI em máquinas remotas. A regra Possível Uso do WMIEXEC APT41 (via linha de comando) detecta uma versão personalizada do WMIEXEC a partir de impacket utilizada por este ator: https://tdm.socprime.com/tdm/info/V9r85CwVjAA8/f6eyTXMBSh4W_EKGPmgA/?p=1

 

E as duas últimas regras ajudam a detectar a atividade de outro grupo chinês, APT10 (também conhecido como menuPass), na rede de uma organização. O APT10 é um grupo de espionagem cibernética chinês ativo desde 2009. Eles têm historicamente como alvo empresas de construção e engenharia, aeroespacial e telecomunicações, além de governos nos Estados Unidos, Europa e Japão.

Em campanhas passadas, os atacantes soltaram arquivos TXT usando macros maliciosas, e então a mesma macro decodificou os arquivos soltos usando certutil.exe do Windows e criou uma cópia dos arquivos com suas extensões adequadas usando Utilitários de Armazenamento Extensível (esentutil.exe). A regra Possível TTP do menuPass .TXT na base de diretórios incomuns (via linha de comando) pode descobrir tal atividade para interromper o ataque: https://tdm.socprime.com/tdm/info/8hpD13wdmRiS/zqqwTXMBQAH5UgbBJ5TR/?p=1


E a última regra de hoje ajuda a detectar quando esse ator de ameaça usa “proxyconnect” como uma ferramenta para proxyar RDP. A regra Possível Ferramenta de Hack proxyconnect do menuPass (via linha de comando) está disponível aqui: https://tdm.socprime.com/tdm/info/lIbFaxM8Lwsc/paqxTXMBQAH5UgbBL5Vi/?p=1

 

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Execução, Acesso a Credenciais, Coleta 

Técnicas: Execução de Serviço (T1569), Despejo de Credenciais (T1003), PowerShell (T1086), Dados Armazenados (T1074)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião