Nur wenige Tage nachdem die Informationen über den FireEye-Datenverstoß erschienen waren, veröffentlichte das Unternehmen die Ergebnisse seiner Untersuchung und Details zu dem Sunburst-Backdoor (einschließlich des technischen Berichts and Gegenmaßnahmen), durch die die APT-Gruppe in Netzwerke mehrerer Organisationen eindrang, und nun können potenziell kompromittierte Unternehmen diese Bedrohung schnell erkennen. Das Ausmaß des erkannten Supply-Chain-Angriffs ist wirklich […]
FireEye-Verletzung: Erkennung des durchgesickerten Red Team-Toolkits
Diese Woche wurde die Cybersicherheitsgemeinschaft von der Nachricht erschüttert, dass eines der führenden Sicherheitsunternehmen kompromittiert wurde von einer ungenannten, hoch entwickelten APT-Gruppe. Die Gegner waren an Red-Team-Tools interessiert, die von FireEye verwendet werden, um die Sicherheit ihrer Kunden zu testen, und suchten nach Informationen zu Regierungskunden. Eine Untersuchung läuft und die F.B.I. Cyber Division ist […]
Interview mit Entwickler: Sittikorn Sangrattanapitak
Heute möchten wir unseren Lesern einen der neuen Autoren von Erkennungsinhalten auf dem Threat Detection Marketplace vorstellen. Treffen Sie Sittikorn Sangrattanapitak, aktives Mitglied des SOC Prime Threat Bounty Programms. Lesen Sie mehr über das Threat Bounty Programm –https://my.socprime.com/tdm-developersWeitere Interviews mit Entwicklern des Threat Bounty Programms –https://socprime.com/tag/interview/ Erzählen Sie uns ein wenig über sich und Ihren Werdegang als […]
Ransomware-Erkennung mit bestehenden Technologien
Es scheint, als stünden wir am Rande einer weiteren Krise, die durch Ransomware-Angriffe und die Verbreitung des Ransomware-as-a-Service Modells verursacht wird, das es sogar relativ unerfahrenen Benutzern ermöglicht, ins große Spiel einzusteigen. Jede Woche sind die Medien voll von Schlagzeilen, dass ein bekanntes Unternehmen oder eine Regierungsorganisation das nächste Opfer eines Angriffs geworden ist, die […]
CVE-2020-14882
Ende Oktober 2020 bemerkte die Welt der Cybersicherheit bösartige Aktivitäten, die auf Oracle WebLogic-Server abzielten. Diese Aktivitäten nahmen die Form wiederkehrender Ausnutzung einer RCE-Schwachstelle im Oracle WebLogic-Serverkonsolen-Komponenten an, die als CVE-2020-14882 bekannt ist. Diese CVE wurde als kritisch bewertet und erzielte 9,8 Punkte auf der CVSS-Skala. CVE-2020-14882 Überblick Die SANS ISC zusammen mit Rapid7 Labs […]
Erkennung von Ryuk Ransomware-Angriffen
Auf der Grundlage der gestiegenen Aktivitäten von Ransomware hält die Ryuk-Ransomware den Spitzenplatz, nachdem sie international renommierte Unternehmen ins Visier genommen hat. In den letzten Wochen berichten Forscher von einer Reihe erfolgreicher Ransomware-Angriffe, die ganze Netzwerke getroffen haben. Das weltweit größte Büromöbelunternehmen Steelcase war gezwungen, ihre Systeme herunterzufahren nach dem Angriff, berichten jedoch ihren Aktionären […]
Erkennung von Energetic Bear Cyberangriffen
Letzte Woche veröffentlichten das Federal Bureau of Investigation und die Cybersecurity and Infrastructure Security Agency gemeinsam einen Sicherheitshinweis im Zusammenhang mit kürzlich entdeckten Cyberangriffen einer russischen staatlich gesponserten Cyber-Spionage-Einheit. Energetic Bear (auch bekannt als Dragonfly, Crouching Yeti, TEMP.Isotope, TeamSpy, Berserk Bear, Havex und Koala) ist dieses Mal aktiv an den US-Wahlen interessiert. In den letzten […]
Erkennung von Regeln zum Löschen von Schattenkopien
Viele unserer jüngsten Veröffentlichungen waren verschiedenen Ransomware-Stämmen gewidmet, und die Regeln zur Erkennung von Matrix-Ransomware-Merkmalen werden nicht dabei helfen, Ragnar Locker oder Maze zu identifizieren. Die Malware ändert sich ständig: Ihre Autoren ändern nicht nur die den Sicherheitsforschern bekannten IOCs, sondern auch das Verhalten, um die Inhalte zur Bedrohungssuche gegen ihre ‚Erfindungen‘ nutzlos zu machen. […]
Phobos Ransomware-Erkennung: SOC-Inhalte gegen EKING-Angriffe
Phobos Ransomware repräsentiert die relativ neue Ransomware-Familie basierend auf Dharma (CrySis), die seit 2016 berüchtigt ist. Die ersten Spuren von Phobos wurden vor weniger als zwei Jahren, am Übergang zu 2019, entdeckt. SOC Prime Threat Detection Marketplace, die weltweit größte Plattform für SOC-Inhalte, bietet Phobos-Ransomware-Erkennungsszenarien unter ihren über 85.000 Inhaltsartikeln. Die EKING-Variante der Phobos-Ransomware tauchte […]
FONIX Ransomware als Dienst-Erkennung
Eine weitere Ransomware-as-a-Service-Plattform bereitet sich darauf vor, ein Spiel mit hohem Einsatz mit Organisationen zu spielen. Forscher von Sentinel Labs entdeckten die ersten Angriffe mit der FONIX-Plattform vor etwa drei Monaten. Jetzt wird diese RaaS-Plattform noch aktiv weiterentwickelt, aber ihre ersten Kunden probieren bereits ihre Fähigkeiten aus. Bisher ist FONIX recht umständlich zu benutzen, sein […]