Conteúdo de Threat Hunting: Descubra o Backdoor Bladabindi

O backdoor Bladabindi é conhecido desde pelo menos 2013. Seus autores monitoram as tendências de cibersegurança e melhoram o backdoor para evitar sua detecção: eles recompilam, renovam e rehash, tornando o conteúdo de detecção baseado em IOCs quase inútil. Em 2018, o backdoor Bladabindi tornou-se sem arquivos e foi utilizado como uma carga secundária entregue pelo malware njRAT / Njw0rm. O backdoor infecta drives USB para se espalhar pelas organizações atacadas. Os adversários usam o Bladabindi para roubar dados sensíveis, baixar e executar ferramentas adicionais, e coletar credenciais, sendo também utilizado como um backdoor e keylogger.

Ariel Millahuel criou a regra de Threat Hunting Sigma baseada em descobertas recentes para detectar características desse malware e a lançou no Threat Detection Marketplace. https://tdm.socprime.com/tdm/info/3DBnUyJPThQ2/SCFEwHEBjwDfaYjKnj0I/?p=1

Ariel é um dos contribuidores mais ativos do Programa de Desenvolvedores, liderando os 10 principais autores de conteúdo deste mês. Em abril, ele publicou mais de 50 regras Sigma para detectar a atividade de grupos APT e diversos malwares usados em ataques recentes.

Entrevista com Ariel Millahuel: https://socprime.com/blog/interview-with-developer-ariel-millahuel/

Explore o conteúdo enviado por Ariel: https://tdm.socprime.com/?authors=ariel+millahuel

A Detecção de Ameaças é suportada para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa 

Técnicas: Interface de Linha de Comando (T1059), Desativação de Ferramentas de Segurança (T1089), Modificar Registro (T1112)