Regra da Semana: Trojan Bunitu

Hoje, na seção Regra da Semana, queremos destacar uma nova regra de caça a ameaças de Ariel Millahuel que ajuda a detectar amostras do Bunitu Proxy Trojan: https://tdm.socprime.com/tdm/info/3evdCZVz3mCX/_WrlonIBPeJ4_8xctGPi/?p=1

O Bunitu Trojan é usado para transformar sistemas infectados em um proxy para clientes remotos. Suas ações maliciosas podem desacelerar o tráfego de rede, e os adversários frequentemente o usam como uma ferramenta para redirecionar endereços IP de máquinas infectadas e usá-los para fins malignos. Uma vez que um computador é infectado, o Bunitu Trojan abre portas para conexões remotas, registra a máquina comprometida no banco de dados, enviando informações sobre seu endereço e portas abertas e, em seguida, aceita conexões nas portas expostas.

Os adversários podem usar o sistema infectado na rede da organização em diferentes esquemas fraudulentos devido ao fato de que o IP da máquina infectada é o único visível do lado de fora. Os operadores do Bunitu Trojan anteriormente o distribuíam frequentemente usando Exploit Kits, incluindo o notório RIG EK, que ainda está ativo e ameaça a segurança das redes corporativas onde é difícil rastrear as atualizações pontuais.

Os autores do malware não costumam fazer mudanças drásticas neste Trojan, mas o empacotamento utilizado, composto de muitas camadas, permite que o Bunitu Trojan permaneça indetectável por muito tempo, então usar a regra da comunidade por Ariel Millahuel ajudará a identificar o Trojan na rede da organização em tempo hábil.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Persistência 

Técnicas: Execução por Carregamento de Módulo (T1129), Chaves de Execução do Registro / Pasta de Inicialização (T1060)