Regras de Caça a Ameaças: Ave Maria RAT

O artigo de hoje é, de certa forma, uma continuação de Conteúdo de Detecção: Arkei Stealer já que o autor da regra de detecção para o Ave Maria RAT é o mesmo, e ambas as ferramentas maliciosas têm se espalhado ativamente recentemente usando o Spamhaus Botnet. 

Ave Maria é um Trojan de Acesso Remoto frequentemente usado por adversários para assumir o controle dos sistemas infectados e habilitá-los com recursos de controle remoto. O trojan foi observado pela primeira vez sendo espalhado por campanhas de phishing maliciosas em 2018 e sua presença nos sistemas infectados tem aumentado desde então. O Ave Maria RAT está armado com mais funções do que o típico spy trojan. Ele utiliza bypass de UAC e tokens de processo para elevar seus privilégios. Uma vez conseguido isso, executará um cmdlet PowerShell para modificar as configurações do Windows Defender e excluir caminhos específicos de serem escaneados em tempo real. 

A regra Sigma recentemente lançada por Lee Archinal permite que soluções de segurança detectem novas instâncias do malware Ave Maria em sistemas Windows: https://tdm.socprime.com/tdm/info/ZGLAAj2QfLbS/vhcCvnMBPeJ4_8xc3FVl/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Persistência

Técnicas: Chaves de Registro de Execução / Pasta de Inicialização (T1060)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.