Detecção de ataques do Trickbot
O Trickbot é um Trojan que foi inicialmente utilizado para roubar credenciais bancárias. Agora este malware é conhecido na Microsoft Windows sistemas operativos onde tem como alvo o Microsoft Defender para impedir a sua detecção e remoção e, em seguida, rouba credenciais usando módulos de vários componentes que recolhem e exfiltram dados.
Essas pesquisas detectam e investigam atividades incomuns que podem estar relacionadas ao Trickbot, incluindo a procura de gravações de arquivos associadas ao seu payload, injeção de processo, execução de shellcode e coleta de dados.
R dados exigidos
Como utilizar o software Splunk para este caso de utilização
- Descoberta de conta com a Net App
- Tentativa de parar o serviço de segurança
- Tubos denominados Cobalt Strike
- Ficheiro executável escrito em partilha administrativa SMB
- Criação de executáveis ou scripts em caminho suspeito
- Mshta gerando processo Rundll32 ou Registr32
- Processo de criação de aplicativo de escritório rundll32
- Documento do Office com código macro
- Processo de CMD de criação de produtos de escritório
- Criação de produtos de escritório CertUtil
- Rosca remota Powershell até conhecida Windows processo
- Agendar tarefa com o gatilho de comando Rundll32
- Tarefa agendada eliminada ou criada via CMD
- Caminho do ficheiro do processo suspeito
- Rundll32 StartW suspeito
- Trickbot chamado tubo
- Processo Wermgr de ligação a serviços web de verificação IP
- Processo Wermgr criar arquivo executável
- Processo Wermgr gerou processo CMD ou Powershell
Próximos passos
Além disso, estes recursos do Splunk podem ajudá-lo a compreender e implementar este caso de utilização:
- Blogue: Caça às Ameaças com Splunk: Tutoriais práticos para o Caçador Ativo
- Se é um Splunk Enterprise Security cliente, também pode obter ajuda da equipa de Security Research opções de suporte no GitHub .