Conteúdo de Caça a Ameaças: Detecção de AsyncRat

[post-views]
Junho 03, 2020 · 2 min de leitura
Conteúdo de Caça a Ameaças: Detecção de AsyncRat

Hoje, sob a Coluna de Conteúdo de Detecção de Ameaças estamos aumentando seu interesse em Detecção de AsyncRAT (Comportamento Sysmon) regra da comunidade por Emir Erdogan. A regra possibilita a detecção do AsyncRat usando logs do Sysmon.

De acordo com o autor do projeto no GitHub, o AsyncRat é uma Ferramenta de Acesso Remoto projetada para monitorar e controlar remotamente outros computadores através de uma conexão criptografada segura criada apenas para fins educacionais. A página do projeto até possui um Aviso Legal que proíbe o uso desta ferramenta para fins maliciosos, mas quando isso impediu os atacantes? 

O código do AsyncRAT está disponível publicamente na página do GitHub e pode servir como uma ferramenta muito ameaçadora nas mãos de atores maliciosos experientes. Não é muito diferente da maioria dos Trojans de Acesso Remoto, mas seu código está publicamente disponível, e até um cibercriminoso inexperiente pode usá-lo em ataques, e atacantes mais experientes podem criar seus próprios malwares baseados em código aberto. 

Adversários podem usar o AsyncRat para roubar credenciais e outros dados sensíveis, gravar vídeos e áudios, coletar informações de serviços de mensagens, navegadores da Web e clientes FTP. Além disso, a ferramenta é capaz de baixar e carregar arquivos no sistema infectado, de modo que pode implantar malware adicional para o ataque avançado.

O conteúdo de caçadores de ameaças que detecta esta “Ferramenta de Acesso Remoto” está disponível no Marketplace de Detecção de Ameaças: https://tdm.socprime.com/tdm/info/XQ4PKpZA4PYK/igppdHIBAq_xcQY4-2PH/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Evasão de Defesa, Escalação de Privilégios, Persistência, Execução

Técnicas: Assinatura de Código (T1116), Injeção de Processo (T1055), Chaves de Registro/ Pasta de Inicialização (T1060), Tarefa Agendada (T1053)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Resumo do SOC Prime Threat Bounty — Resultados de Setembro de 2024
Blog, Plataforma SOC Prime — 4 min de leitura
Resumo do SOC Prime Threat Bounty — Resultados de Setembro de 2024
Alla Yurchenko
Resumo do SOC Prime Threat Bounty — Resultados de Junho de 2024
Blog, Plataforma SOC Prime — 5 min de leitura
Resumo do SOC Prime Threat Bounty — Resultados de Junho de 2024
Alla Yurchenko
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Ameaças Mais Recentes, Blog — 3 min de leitura
Lazarus Group Resurfaces, Exploiting Log4j Vulnerability and Spreading MagicRAT
Anastasiia Yevdokimova