Detecção de ataques FIN7
FIN7 é um grupo de atores de ameaças que tem como alvo principal os setores de retalho, restauração e hotelaria dos EUA desde meados de 2015. O malware FIN7 é normalmente implementado através de campanhas de spear-phishing como uma entrada para a rede ou sistema anfitrião de destino. O grupo FIN7 utiliza também REvil e Darkside cargas úteis de ransomware depois de obter acesso a um sistema anfitrião comprometido.
Tem de ser capaz de detectar e investigar actividades invulgares que possam estar relacionadas com o implante FIN7 JS e o seu JSSLoader. Estes incluem o carregamento de imagens de LDAP e Windows Módulos de Instrumentação de Gestão (WMI), bem como outras atividades associadas à carga útil do FIN7, recolha de dados e execução de scripts.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
- Check elevated CMD using whoami
- Cmdline tool not executed in CMD shell
- Jscript execution using Cscript app
- MS Scripting process loading Ldap module
- MS Scripting process loading WMI module
- Non-Chrome process accessing Chrome default dir
- Non-Firefox process accessing Firefox profile dir
- Office application drop executable
- Office product spawning Wmic
- Vbscript execution using Wscript app
- Wscript or Cscript suspicious child process
- XSL script execution With WMIC
Próximos passos
Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:
- Caso de uso: Detectando REvil infecções por ransomware
- Caso de uso: Detectando DarkSide ransomware
- Caso de uso: Detecção de ataques de ransomware
- Caso de uso: Investigar ataques de ransomware
- Blogue: Detectando Remcos ferramenta utilizada por FIN7 com Splunk