Heute stellen wir eine besondere Zusammenstellung von Inhalten vor, die bei der Erkennung der Ausnutzung einer kritischen Schwachstelle in Windows-DNS-Servern helfen. Die Schwachstelle wurde erst vor zwei Tagen bekannt, aber seitdem haben sowohl das SOC-Prime-Team (vertreten durch Nate Guagenty) als auch die Teilnehmer des Threat Bounty Programms über 10 Regeln zur Erkennung verschiedener Arten der […]
Unternehmens-Dashboard: Einblicke in Ihre Aktivitäten im Threat Detection Marketplace
SOC Prime Threat Detection Marktplatz (SOC Prime TDM) wurde als SaaS-Inhaltsplattform erstellt, die Unternehmen dabei unterstützt, ihre Sicherheitsanalytik zu verbessern. Daher gehören die Beschleunigung analytischer Fähigkeiten und die Bereitstellung von Echtzeitstatistiken zu den Kernfunktionen, die wir bei SOC Prime als von höchstem Wert betrachten. Datenvisualisierung hilft dabei, Daten auf eine intuitivere Weise zu präsentieren und […]
Bedrohungsjagd-Inhalt: SamoRAT-Verhalten
Heute im Abschnitt Bedrohungssuche möchten wir auf die Community-Regel aufmerksam machen, die im Threat Detection Marketplace von Ariel Millahuel veröffentlicht wurde, die frische Proben der SamoRAT-Malware erkennt: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Dieses Remote-Access-Trojaner erschien auf den Radaren der Forscher kürzlich, die ersten SamoRAT-Proben wurden vor etwa einem Monat entdeckt. Der Trojaner ist eine .NET-basierte Malware, die hauptsächlich von […]
Erkennungsinhalt: Phorpiex Trojaner
In einem unserer Threat Hunting-Inhalte Blogbeiträge haben wir bereits eine Regel zur Erkennung von Avaddon-Ransomware, einer neuen Ransomware-as-a-Service-Variante, die erstmals Anfang Juni entdeckt wurde. Einer der aktivsten Verteiler der Avaddon-Ransomware ist das Phorpiex-Botnetz, das sich kürzlich von Verlusten erholt hat, die es Anfang dieses Jahres erlitten hat. Infizierte Systeme können Zehntausende von E-Mails pro Stunde […]
Regelübersicht: Valak und HanaLoader Malware, Missbrauch von MSBuild und mehr
Und wieder freuen wir uns, Ihnen unser Regel-Überblickvorzustellen, der diesmal nicht nur die Erkennungsinhalte der Teilnehmer des Threat Bounty Program zeigt, sondern auch die des SOC Prime Teams. Heute erzählen wir Ihnen ein wenig über Valak- und HanaLoader-Malware, die Erkennung von Datenabzügen und den Missbrauch von MSBuild sowie das Hijacking von Kommandozeilenargumenten. Die Valak-Malware ist […]
Regel der Woche: Verschleiertes DLL-Laden / AWL-Umgehung
Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL […]
Threat-Hunting-Inhalte: CertReq.exe Lolbin
Living off the Land-Binärdateien (Lolbins) sind legitime Binärdateien, die fortgeschrittene Gegner oft missbrauchen, um Aktionen auszuführen, die über ihren ursprünglichen Zweck hinausgehen. Cyberkriminelle nutzen sie aktiv, um Malware herunterzuladen, Persistenz sicherzustellen, Daten zu exfiltrieren, sich lateral zu bewegen und mehr. Erst gestern haben wir über eine Regel geschrieben, die Angriffe der Evil Corp-Gruppe erkennt, welche […]
Erkennungsinhalt: WastedLocker Ransomware
Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten. Im vergangenen Jahr verließ ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit […]
Threat Hunting-Inhalte: DropboxAES RAT-Erkennung
Heute möchten wir Ihnen vom DropboxAES-Trojaner erzählen, der von der APT31-Gruppe in Cyber-Spionage-Kampagnen eingesetzt wird, und auch einen Link zur Community Sigma-Regel geben, um diese Malware zu erkennen. Im Allgemeinen hebt sich DropboxAES nicht von anderen Remote-Access-Trojanern ab. Dies ist ein relativ neues Werkzeug im Arsenal der APT31 (auch bekannt als BRONZE VINEWOOD). Die Malware […]
CVE-2020-5903-Schwachstellen in F5s BIG-IP ermöglichen vollständige Systemkompromittierung
Letzte Woche veröffentlichte F5 Networks, einer der weltweit größten Anbieter von Netzwerklösungen für die Anwendungsbereitstellung, eine Sicherheitswarnung, um ihre Kunden vor einer gefährlichen Schwachstelle zu warnen, die Cyberkriminelle in naher Zukunft ausnutzen könnten, falls sie nicht bereits aktiv im Umlauf ausgenutzt wird. Die Sicherheitslücke wurde in multifunktionalen Netzwerkgeräten (BIG-IP) entdeckt, die als Load Balancer, SSL-Middleware, […]