Já faz um ano desde que o primeiro malware explorou timidamente o DNS-over-HTTPS (DoH) para recuperar os IPs da infraestrutura de comando e controle. Pesquisadores de segurança já haviam alertado que isso poderia ser um problema sério e começaram a buscar uma solução que ajudaria a detectar tal tráfego malicioso. Mais e mais malwares têm mudado para o tráfego DoH porque esse protocolo pode ser usado pelo Chrome e Opera, e a Mozilla já habilitou esse recurso por padrão para usuários dos EUA.
E agora é sabido que o grupo APT iraniano usa esse protocolo em campanhas de ciberespionagem desde maio de 2020. Oilrig grupo (também conhecido como APT34 ou Helix Kitten) opera há cerca de seis anos e pesquisadores de segurança estão regularmente encontrando novas ferramentas relacionadas a este grupo APT. Em ataques recentes, eles usaram uma nova ferramenta chamada DNSExfiltrator durante invasões em redes comprometidas. A ferramenta pode transferir dados entre dois pontos usando o protocolo DNS-over-HTTPS e o Oilrig a utiliza para mover dados lateralmente através de redes internas e então exfiltrá-los para um ponto externo.
Nova regra exclusiva Sigma desenvolvida por Roman Ranskyi permite que soluções de segurança descubram possíveis conexões C2 via protocolo DoH: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
NTA: Corelight
MITRE ATT&CK:
Táticas: Comando e Controle
Técnicas: Porta Comumente Utilizada (T1043), Protocolo Padrão da Camada de Aplicação (T1071)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Incentivo à Ameaça para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
