Regras de Caça a Ameaças: Possível Conexão C2 via DoH

Já faz um ano desde que o primeiro malware explorou timidamente o DNS-over-HTTPS (DoH) para recuperar os IPs da infraestrutura de comando e controle. Pesquisadores de segurança já haviam alertado que isso poderia ser um problema sério e começaram a buscar uma solução que ajudaria a detectar tal tráfego malicioso. Mais e mais malwares têm mudado para o tráfego DoH porque esse protocolo pode ser usado pelo Chrome e Opera, e a Mozilla já habilitou esse recurso por padrão para usuários dos EUA.

E agora é sabido que o grupo APT iraniano usa esse protocolo em campanhas de ciberespionagem desde maio de 2020. Oilrig grupo (também conhecido como APT34 ou Helix Kitten) opera há cerca de seis anos e pesquisadores de segurança estão regularmente encontrando novas ferramentas relacionadas a este grupo APT. Em ataques recentes, eles usaram uma nova ferramenta chamada DNSExfiltrator durante invasões em redes comprometidas. A ferramenta pode transferir dados entre dois pontos usando o protocolo DNS-over-HTTPS e o Oilrig a utiliza para mover dados lateralmente através de redes internas e então exfiltrá-los para um ponto externo. 

Nova regra exclusiva Sigma desenvolvida por Roman Ranskyi permite que soluções de segurança descubram possíveis conexões C2 via protocolo DoH: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK: 

Táticas: Comando e Controle

Técnicas: Porta Comumente Utilizada (T1043), Protocolo Padrão da Camada de Aplicação (T1071)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Incentivo à Ameaça para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.