Der Juli erwies sich als fruchtbar für veröffentlichte kritische Schwachstellen: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), und CVE-2020-1350 (auch bekannt als SIGRed, die Schwachstelle in Microsoft Windows DNS Server). Letzte Woche veröffentlichten Mitwirkende des Threat Bounty Program und das SOC Prime-Team […]
Erkennung von Inhalten: Hancitor Trojaner
Der heutige Beitrag handelt von neuen Versionen des Hancitor-Trojaners und ein paar Regeln, die von Threat Bounty Program Teilnehmern veröffentlicht wurden, die es Sicherheitslösungen ermöglichen, sie zu erkennen. Hancitor Trojaner (Umgehungstechnik) Gemeinschaftsregel von Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Hancitor-Infektion mit Ursnif exklusive Regel von Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Diese Malware trat 2013 auf und wurde Ende letzten Jahres […]
Regelübersicht: CobaltStrike, APT10 und APT41
Wir freuen uns, Ihnen das regelmäßige Regel-Digestpräsentieren zu können, das ausschließlich aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten von APT-Gruppen aufzudecken, die mit der chinesischen Regierung in Verbindung stehen und das CobaltStrike-Tool in Cyber-Spionagekampagnen häufig verwenden. Doch bevor wir […]
Erkennung von Inhalten: GoldenHelper-Verhalten
Diese Woche werden wir im Abschnitt „Regel der Woche“ keine Regel hervorheben, da die heißesten Regeln bereits im gestrigen Spezialdigest veröffentlicht wurden, der den Regeln gewidmet ist, die die Ausnutzung einer kritischen Schwachstelle in Windows DNS Servern, CVE-2020-1350 (auch bekannt als SIGRed), erkennen. Die heutige Veröffentlichung ist der Erkennung von GoldenHelper-Malware gewidmet, die in offizielle […]
CVE-2020-1350 (SIGRed) Exploitierungserkennung mit Bedrohungsjagdrichtlinien
Heute stellen wir eine besondere Zusammenstellung von Inhalten vor, die bei der Erkennung der Ausnutzung einer kritischen Schwachstelle in Windows-DNS-Servern helfen. Die Schwachstelle wurde erst vor zwei Tagen bekannt, aber seitdem haben sowohl das SOC-Prime-Team (vertreten durch Nate Guagenty) als auch die Teilnehmer des Threat Bounty Programms über 10 Regeln zur Erkennung verschiedener Arten der […]
Unternehmens-Dashboard: Einblicke in Ihre Aktivitäten im Threat Detection Marketplace
SOC Prime Threat Detection Marktplatz (SOC Prime TDM) wurde als SaaS-Inhaltsplattform erstellt, die Unternehmen dabei unterstützt, ihre Sicherheitsanalytik zu verbessern. Daher gehören die Beschleunigung analytischer Fähigkeiten und die Bereitstellung von Echtzeitstatistiken zu den Kernfunktionen, die wir bei SOC Prime als von höchstem Wert betrachten. Datenvisualisierung hilft dabei, Daten auf eine intuitivere Weise zu präsentieren und […]
Bedrohungsjagd-Inhalt: SamoRAT-Verhalten
Heute im Abschnitt Bedrohungssuche möchten wir auf die Community-Regel aufmerksam machen, die im Threat Detection Marketplace von Ariel Millahuel veröffentlicht wurde, die frische Proben der SamoRAT-Malware erkennt: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Dieses Remote-Access-Trojaner erschien auf den Radaren der Forscher kürzlich, die ersten SamoRAT-Proben wurden vor etwa einem Monat entdeckt. Der Trojaner ist eine .NET-basierte Malware, die hauptsächlich von […]
Erkennungsinhalt: Phorpiex Trojaner
In einem unserer Threat Hunting-Inhalte Blogbeiträge haben wir bereits eine Regel zur Erkennung von Avaddon-Ransomware, einer neuen Ransomware-as-a-Service-Variante, die erstmals Anfang Juni entdeckt wurde. Einer der aktivsten Verteiler der Avaddon-Ransomware ist das Phorpiex-Botnetz, das sich kürzlich von Verlusten erholt hat, die es Anfang dieses Jahres erlitten hat. Infizierte Systeme können Zehntausende von E-Mails pro Stunde […]
Regelübersicht: Valak und HanaLoader Malware, Missbrauch von MSBuild und mehr
Und wieder freuen wir uns, Ihnen unser Regel-Überblickvorzustellen, der diesmal nicht nur die Erkennungsinhalte der Teilnehmer des Threat Bounty Program zeigt, sondern auch die des SOC Prime Teams. Heute erzählen wir Ihnen ein wenig über Valak- und HanaLoader-Malware, die Erkennung von Datenabzügen und den Missbrauch von MSBuild sowie das Hijacking von Kommandozeilenargumenten. Die Valak-Malware ist […]
Regel der Woche: Verschleiertes DLL-Laden / AWL-Umgehung
Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL […]