Recorded Future’s Insikt Group created detections to run with SIEM software and incident response guides for 4 popular credential harvesting tools. Sources included the Recorded Future® Platform, Malpedia, PolySwarm, reverse engineering and open-source intelligence (OSINT) enrichments. The target audience for this research includes security practitioners, network defenders, and threat intelligence professionals who are interested in protecting organizations from credential harvesting tools.

Executive Summary

L'utilisation d'outils de collecte d'informations d'identification est un moyen courant et efficace pour les acteurs malveillants d'obtenir un accès supplémentaire à votre infrastructure. Les détails d'un incident Ryuk récent révèlent une procédure en 15 étapes visant à compromettre les victimes, dont deux impliquent l'utilisation des outils de collecte d'identifiants Mimikatz et LaZagne. Ces outils ont été utilisés pour se déplacer latéralement dans l'environnement de la victime et compromettre d'autres hôtes sur le réseau.

This article details our research regarding Sigma based detection rules for Mimikatz, LaZagne, T-Rat 2.0, and Osno Stealer. Additionally, we provide an initial incident priority level and a high-level response procedure to help security operations teams respond to credential harvesting incidents.

Les règles Sigma fournies par le projet open source Sigma et les règles personnalisées développées par Recorded Future (disponibles uniquement pour les clients existants) offrent une fonctionnalité puissante pour détecter et répondre à la collecte d'informations d'identification à l'aide des solutions SIEM existantes. Lorsqu'elles sont associées à une journalisation basée sur l'hôte correctement configurée, à l'aide d'outils tels que Sysmon, les règles Sigma peuvent améliorer la capacité d'une organisation à détecter et à répondre aux menaces avec une précision et une efficacité accrues.

Sigma is a standardized rule syntax which can be converted into many different SIEM-supported syntax formats. The Recorded Future Platform allows clients to access and download Sigma rules developed by Insikt Group for use in their organizations.

Key Judgements

• Most credential harvesting tools are high risk since they enable additional tactics, techniques, and procedures (TTPs) such as lateral movement and privilege escalation; commonly, credential harvesting tools are used as a second-stage tool and indicate the host is already compromised.
• Successful detection and response to credential harvesting activity may prevent intrusions from successfully completing their objectives.
• Sigma rules are an effective way to share detections among multiple platforms. Using Recorded Future priority levels and response procedures with Sigma rules provides an easy-to-implement detection and response capability for cybersecurity teams.