Regras de Caça às Ameaças: Redaman RAT

Hoje, na categoria Regras de Detecção de Ameaças, temos o prazer de apresentar uma nova regra desenvolvida por Ariel Millahuel, que detecta o Redaman RAT: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1

O Redaman é uma forma de trojan bancário distribuído por campanhas de phishing. Foi visto pela primeira vez em 2015 e relatado como o trojan bancário RTM, novas versões do Redaman apareceram em 2017 e 2018. Em setembro de 2019, pesquisadores identificaram uma nova versão deste malware que utiliza uma técnica nunca antes vista para ocultar endereços IP do servidor de Comando e Controle (C&C) do Pony dentro do blockchain do Bitcoin: o trojan conecta-se ao blockchain do Bitcoin e encadeia transações para encontrar o servidor C&C oculto.

Uma versão recentemente descoberta do trojan Radaman mostra um novo comportamento. Está relacionado à modificação de certificados raiz e ao abuso da execução do rundll32 para implantar arquivos maliciosos. Este malware é frequentemente usado em campanhas de malspam, e portanto, seus autores estão constantemente melhorando-o e ensinando novos truques.

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Execução, Evasão de Defesa, Persistência, Escalação de Privilégio

Técnicas: Instalar Certificado Raiz (T1130), Tarefa Agendada (T1053)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.