Conteúdo de Caça a Ameaças para Identificar Traços do Buer Loader

Nova regra comunitária por Ariel Millahuel que permite a detecção do Buer loader está disponível no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/

Buer é um carregador modular que foi detectado pela primeira vez no final do último verão e desde então esse malware tem sido ativamente promovido nos mercados subterrâneos. Pesquisadores da Proofpoint monitoraram múltiplas campanhas espalhando o Buer loader, ele foi distribuído por emails de phishing com anexos maliciosos e kits de exploração. O malware é escrito em C, opera inteiramente na memória residente e pode infectar sistemas Windows de 32 e 64 bits. O carregador Buer se comunica via HTTPS e é bastante popular devido às suas capacidades de anti-análise. As capacidades do malware são semelhantes ao Smoke Loader mencionado em nosso último Rule Digest: https://socprime.com/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/

Ariel Millahuel é o autor de cerca de 200 regras Sigma exclusivas e comunitárias. Ele se juntou ao Threat Bounty Program no outono de 2019 e desde então, tem estado ativamente envolvido no desenvolvimento da comunidade. A entrevista com Ariel está publicada em nosso site: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Threat Detection é suportado para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Persistência

Técnicas: Chaves de Registro de Execução / Pasta de Inicialização (Е1060), DLL de Ajuda Winlogon (Е1004)