Conteúdo de Caça a Ameaças: Comportamento do SamoRAT

Hoje, na seção de Conteúdo de Caça a Ameaças, queremos prestar atenção à regra da comunidade lançada no Threat Detection Marketplace por Ariel Millahuel que detecta amostras recentes do malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1

Este trojan de acesso remoto apareceu nos radares de pesquisadores recentemente, as primeiras amostras do SamoRAT foram descobertas há cerca de um mês. O trojan é um malware baseado em .NET, utilizado principalmente por cibercriminosos para receber e executar diversos comandos no sistema infectado. Como outros trojans de acesso remoto, ele também é capaz de baixar e executar outros malwares e ferramentas usadas por adversários.

SamoRAT emprega o uso de verificação anti-análise para detectar quando está sendo analisado por sistemas antivírus, permitindo que altere seu comportamento para que nenhum alarme seja acionado pelo software antivírus. O trojan tem a funcionalidade de parar o processo do Windows Defender e desativar seus recursos editando registros para evitar a detecção em tempo de execução.  Também é capaz de executar comandos PowerShell para desabilitar recursos adicionais do Windows Defender. SamoRAT atinge persistência por meio de tarefas agendadas ou modificação de registros do Windows (dependendo dos privilégios de administrador para execução na inicialização). Após conquistar acesso, o malware se registra no servidor de comando e controle enviando uma solicitação POST e então faz mais uma solicitação POST para o mesmo endereço indicando que está pronto para receber comandos. 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Persistência

Técnicas: Chaves de Registro para Execução / Pasta de Inicialização (T1060)

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.