Gegner können bösartige ausführbare Dateien als Bilder, Dokumente oder Archive tarnen, Dateisymbole ersetzen und gefälschte Erweiterungen zu den Dateinamen hinzufügen. Solche „gestalteten“ Dateien werden häufig als Anhänge in Phishing-E-Mails verwendet, und dies ist eine ziemlich effektive Methode, um Windows-Systeme zu infizieren, da die Option „Bekannte Dateitypen-Erweiterungen ausblenden“ standardmäßig für Windows XP und neuere Systeme aktiviert […]
Bedrohungsjagd-Inhalte: Bladabindi-Hintertür aufdecken
Die Bladabindi-Hintertür ist mindestens seit 2013 bekannt. Ihre Autoren überwachen Cybersecurity-Trends und verbessern die Hintertür, um deren Entdeckung zu verhindern: Sie kompilieren, aktualisieren und hashen sie neu, sodass IOCs-basierte Erkennung fast nutzlos ist. Im Jahr 2018 wurde die Bladabindi-Hintertür dateilos und als sekundärer Payload verwendet, der durch die njRAT / Njw0rm-Malware ausgeliefert wurde. Die Hintertür […]
Splendid SOC Prime TDM Update im April
Mit dieser Veröffentlichung haben wir großartige Arbeit geleistet, und heute freuen wir uns, unsere neuen funkelnden Funktionen und Verbesserungen im SOC Prime Threat Detection Marketplace (TDM) vorzustellen. Sehen Sie sich an, was neu ist.Neue PlattformenDie am meisten gewünschte Neuerung ist die Unterstützung einiger beliebter Plattformen.CrowdStrikeSie können jetzt Bedrohungen im CrowdStrike-Umfeld mit TDM-Regeln aufspüren. Der Integrationsknopf […]
Sigma-Regel: Sophos Firewall Asnarok-Malware-Kampagne
Ein dringendes Sicherheitsupdate für Sophos XG Firewall wurde diesen Samstag veröffentlicht. Das Update behebt eine Zero-Day-SQL-Injection-Remote-Code-Execution-Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird. Es ermöglicht Cyberkriminellen, Sophos-Firewalls über deren Managementschnittstelle zu kompromittieren und Asnarok-Malware einzusetzen. Der Trojaner stiehlt die Lizenz und Seriennummer der Firewall, Benutzermails, den gesalzenen SHA256-Hash des Administrators und verschlüsselte Passwörter. Um Ihr […]
Erkennung von Inhalten: Aufspüren von Ursnif Trojaner-Aktivitäten
Die exklusive Regel ‚Process Injection by Ursnif (Dreambot Malware)‘ von Emir Erdogan ist im Threat Detection Marketplace veröffentlicht: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ Der Ursnif Banking-Trojaner wurde von Angreifern in verschiedenen Modifikationen seit etwa 13 Jahren genutzt, ständig mit neuen Funktionen ausgestattet und mit neuen Tricks versehen, um Sicherheitslösungen zu umgehen. Sein Quellcode wurde 2014 geleakt, und seitdem steht […]
Bedrohungsjagd-Inhalte zur Entdeckung von Spuren des Buer Loaders
Eine neue Community-Regel von Ariel Millahuel, die das Erkennen des Buer-Loaders ermöglicht, ist im Threat Detection Marketplace verfügbar: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer ist ein modularer Loader, der erstmals Ende letzten Sommers entdeckt wurde. Seitdem wird diese Malware aktiv in Untergrund-Marktplätzen beworben. Forscher von Proofpoint verfolgten mehrere Kampagnen, die den Buer-Loader verbreiteten. Er wurde durch Phishing-E-Mails mit schädlichen […]
Interview mit Entwickler: Den Iuzvyk
SOC Prime präsentiert ein weiteres Interview mit einem Teilnehmer des SOC Prime Threat Bounty Developer Program (https://my.socprime.com/en/tdm-developers). Wir möchten Ihnen Den Iuzvyk vorstellen, der während seiner sechsmonatigen Teilnahme am Threat Bounty Program über 60 Community-Regeln von höchster Qualität und Erkennungswert veröffentlicht hat.Lesen Sie mehr Interviews mit Content-Entwicklern auf unserem Blog: https://socprime.com/en/tag/interview/ Erzählen Sie uns ein […]
Regel Digest: Frische Inhalte zur Erkennung von Trojanern und Ransomware
SOC Prime macht Sie auf einen kleinen Digest der neuesten Community-Regeln aufmerksam, die von Teilnehmern des Threat Bounty Program entwickelt wurden (https://my.socprime.com/en/tdm-developers). Der Digest umfasst 5 Regeln, die helfen, Trojaner und Hidden Tear Ransomware zu erkennen. Zukünftig werden wir weiterhin solche Inhaltssammlungen veröffentlichen, um spezifische Bedrohungsakteure oder beliebte Exploits zu erkennen. Hidden Tear Ransomware […]
Erkennungsinhalt, der Versuche aufdeckt, AccessKey für die aktuelle Sitzung in Azure zu stehlen
Die Community-Regel „The Suspicious Command Line Contains Azure TokenCache.dat as Argument“ des SOC Prime-Teams ist verfügbar unter Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Die Datei TokenCache.dat enthält den AccessKey für die aktuelle Sitzung und wird als Klartext-JSON-Datei gespeichert. Jegliche Manipulationen mit dieser Datei über die Befehlszeile können auf einen Versuch hindeuten, das Token zu stehlen, um es in […]
SOC Prime-Integration mit Microsoft Azure Sentinel, Neue Funktionen
Das gesamte SOC Prime-Team arbeitet derzeit remote (wir hoffen, Sie tun dasselbe), aber solche Bedingungen haben unsere Effektivität und das Streben zur Verbesserung nicht beeinträchtigt Threat Detection Marketplace (TDM)-Plattform. In diesem Blog freuen wir uns, die 4 neuen TDM-Funktionen von SOC Prime ankündigen zu können, die dank unserer Drittanbieter-Integration mit Microsoft Azure Sentinel entstanden sind, […]