Heute möchten wir der Community-IOC-Sigma-Regel, die von Ariel Millahuel eingereicht wurde, Beachtung schenken, um das Erstellen von Mock-Verzeichnissen zu erkennen, die zur Umgehung der Benutzerkontensteuerung (UAC) verwendet werden können: https://tdm.socprime.com/tdm/info/KB1bISN0mbzm/Hua9s3MBSh4W_EKGTlO2/?p=1 Ein Mock-Ordner ist eine spezifische Imitation eines Windows-Ordners mit einem Leerzeichen am Ende seines Namens, und der Sicherheitsforscher beschrieb den Weg, solche Verzeichnisse zu missbrauchen. […]
Erkennungsinhalt: Bazar Loader
Dieser Herbst hat eine weitere Herausforderung für die Wächter der Unternehmensinfrastrukturen gebracht. Früher in diesem Jahr, Ende April, haben Entwickler von TrickBot einen neuen heimlichen Backdoor in einer Phishing-Kampagne eingesetzt, die auf professionelle Dienstleistungen, Gesundheitswesen, Fertigung, IT, Logistik und Reiseunternehmen in den Vereinigten Staaten und Europa abzielte. Viele fortgeschrittene Bedrohungsakteure, einschließlich der berüchtigten Lazarus APT, […]
Regel der Woche: VHD Ransomware-Erkennung
Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die […]
Bedrohungsjagdregeln: Redaman RAT
Heute, in der Kategorie Bedrohungsjagd-Regeln, freuen wir uns, Ihnen eine neue Regel vorzustellen, die von Ariel Millahuel entwickelt wurde, die Redaman RAT erkennt: https://tdm.socprime.com/tdm/info/gAF3sheoIG9y/qtkZmnMBQAH5UgbBy6do/?p=1 Redaman ist eine Form von Banking-Trojanern, die durch Phishing-Kampagnen verbreitet werden. Es wurde erstmals 2015 gesehen und als RTM-Banking-Trojaner gemeldet, neue Versionen von Redaman erschienen 2017 und 2018. Im September 2019 […]
Erkennungsinhalt: MATA Multi-Plattform-Malware-Framework der Lazarus APT
Letzte Woche haben Forscher berichtet über das neueste berüchtigte Lazarus APT-Tool, das seit dem Frühjahr 2018 in den Angriffen der Gruppe verwendet wird. Ihr neues ‚Spielzeug‘ wurde MATA genannt, es handelt sich um ein modulares plattformübergreifendes Framework mit mehreren Komponenten, darunter ein Loader, Orchestrator und mehrere Plugins, die dazu verwendet werden können, Windows-, Linux- und […]
Bedrohungsjagd-Regeln: Golden Chickens MaaS
Wie Sie wissen, ist Malware-as-a-Service (MaaS) ein Geschäftsmodell, das bereits alltäglich geworden ist und in Untergrundforen und auf dem Schwarzmarkt eine Vielzahl von Dienstleistungen anbietet. Die ersten Angriffe unter Verwendung des Golden Chickens MaaS begannen bereits 2017, und die Cobalt-Gruppe gehörte zu ihren ersten „Kunden“. Der Erfolg dieses Projekts hängt stark von spezifischen Tools und […]
Erkennungsinhalt: RDAT-Hintertür
Letzte Woche haben Forscher Veröffentlichungen vorgenommen Details zu den Angriffen veröffentlicht, die auf die Telekommunikation im Nahen Osten abzielten, durchgeführt von APT34 (auch bekannt als OilRig und Helix Kitten) und aktualisierte Werkzeuge im Arsenal dieser Gruppe. Natürlich ließen es sich die Teilnehmer des Threat Bounty Program nicht nehmen, ein paar Regeln zur Erkennung des RDAT-Backdoors […]
Threat Hunting-Inhalte: Emotet kehrt erneut zurück
Denn nie war eine Geschichte voller Leid als die von Emotet, der einmal mehr zurückkehrt. Diesmal gab es etwa sieben Monate lang keine großangelegten Kampagnen, obwohl vereinzelte Infektionsfälle aufgezeichnet wurden und Forscher Dokumente fanden, die diese Malware verteilten. Die Angriffe wurden letzten Freitag wieder aufgenommen, wobei das Botnetz innerhalb weniger Stunden etwa 250.000 E-Mails versandte, […]
CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Erneut weichen wir vom üblichen Veröffentlichungszyklus ab, da ein Exploit für die kritische Schwachstelle CVE-2020-3452 in Cisco ASA & Cisco Firepower aufgetaucht ist, ebenso wie Regeln zur Erkennung der Ausnutzung dieser Schwachstelle. CVE-2020-3452 – noch ein Kopfschmerz im Juli CVE-2020-3452 wurde Ende letzten Jahres entdeckt, aber erst letzte Woche wurde sie veröffentlicht, als Cisco ein […]
Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)
Der Covid19-Ausbruch hat eine Reihe von Schwachstellen in der Cybersicherheit offenbart. Wir tun unser Bestes, um Sie über die neuesten Trends in unseren Weekly Talks, Webinaren und relevanten Content-Digests auf dem Laufenden zu halten. Doch menschliche Neugierde in der Informationsflut kann eine Schwachstelle sein. FormBook, der seit 2016 bekannte Infostealer, wird aktiv über eine E-Mail-Kampagne […]