Detecção da Backdoor Serpent: um Novo Malware Furtivo Ataca Entidades Francesas
Índice:
Um novo malware direcionado foi observado atacando entidades governamentais e de construção na França. A Proofpoint conduziu uma extensa pesquisa do malware chamado Serpent.
Análise do Serpent Backdoor mostrou que os adversários têm usado alguns comportamentos incomuns que nunca foram detectados antes. Isso exige a criação de novos conteúdos de detecção que capturem especificamente essas novas técnicas de evasão de defesa. Mergulhe em nossa nova abordagem para detectar o malware de backdoor Serpent e fique à frente da nova ameaça.
Detectar o Serpent Backdoor: Como Identificar Atividades Suspeitas
Esta regra criada pelo nosso desenvolvedor do Threat Bounty Emir Erdogan detecta comportamento suspeito quando um payload cria uma tarefa de uso único para chamar PE, cria um evento para acionar e depois exclui a tarefa.
Ao fazer login na sua conta SOC Prime (ou criar uma nova, se ainda não tiver), você pode acessar o código em formatos Sigma e específicos de fornecedores, bem como os dados de inteligência associados ao backdoor rastreado como Serpent.
Esta regra é traduzida nos seguintes formatos SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
A regra está alinhada com a última versão v.10 do framework MITRE ATT&CK®, abordando a Execução de Proxy Binário Assinado como técnica principal.
Acesse milhares de outras regras valiosas de detecção na nossa plataforma Detection as Code clicando no botão abaixo. Além disso, se você é um pesquisador cibernético experiente ou engenheiro de detecção, pode compartilhar seus valiosos insights enviando seu conteúdo para nosso Programa Threat Bounty e recebendo incentivos monetários por eles.
Ver Detecções Junte-se ao Threat Bounty
Cadeia de Ataques Deslizantes do Serpent
Na primeira fase do ataque, e-mails de spear-phishing entregam documentos do Microsoft Word habilitados para macro que contêm um gerenciador de pacotes Windows Chocolatey com payloads maliciosos ocultos. Em alguns locais, as macros VBA representam uma cobra usando codificação ASCII, por isso os pesquisadores se referem a este backdoor como Serpent.
O arquivo defeituoso do Microsoft Word se disfarça como uma documentação de GDPR, então, consequentemente, as vítimas raramente suspeitam de algo incomum. A execução de macros leva a um URL de imagem que contém um script PowerShell base64 disfarçado com a ajuda da esteganografia.
O instalador de pacotes Chocolatey é algo novo que não foi observado em execuções de cadeia de ataque antes. É uma ferramenta de automação legítima para Windows que compila pacotes a partir de arquivos ZIP separados, scripts, instaladores e arquivos EXE. Os atacantes usam o Chocolatey para baixar e instalar o Serpent backdoor no dispositivo de um usuário. Este malware permitiria administração remota, acesso a servidores C&C, roubo de dados e também a instalação de outros payloads.
Na próxima etapa, o Chocolatey também instala um monte de dependências do Python para o backdoor Serpent controlar remotamente os sistemas. Por exemplo, um instalador de pacotes Python pip instala o proxy cliente PySocks, recebe outro script oculto por esteganografia via um URL de imagem, que ao ser executado cria um arquivo BAT, que também executa um script Python.
Os pesquisadores da Proofpoint não especificaram os objetivos deste ataque, mas mencionaram que as evidências disponíveis de múltiplos comportamentos únicos apontam para um ataque direcionado avançado.
Embora ataques cibernéticos como este estejam se tornando cada vez mais sofisticados, para organizações individuais torna-se mais difícil enfrentar essa luta sozinhos. Uma solução viável é aproveitar os benefícios de uma abordagem colaborativa de defesa ao se juntar à plataforma Detection as Code da SOC Prime.
