Im heutigen Digest möchten wir die Inhalte hervorheben, die von Mitgliedern des Threat Bounty Program bereitgestellt wurden, um Sicherheitstools bei der Erkennung des Saefko RAT, Ursa Trojaners und einer Reihe aktiv verbreiteter Ransomware-Stämme zu unterstützen. Der Saefko RAT ist ein relativ frischer Remote-Access-Trojaner, der in .NET geschrieben und Mitte 2019 erstmals gesichtet wurde. Der Saefko […]
Regel der Woche: Thanos Ransomware
Heute in der Sektion Regel der Woche empfehlen wir, die Regel zu beachten, die von Emir Erdoganveröffentlicht wurde. Die neue Regel hilft, Thanos-Ransomware zu erkennen, die die RIPlace-Taktik verwendet, um Anti-Ransomware-Lösungen zu umgehen: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos-Ransomware erschien erstmals Ende letzten Jahres, und ihre Autoren bewarben sie in Untergrundforen und geschlossenen Kanälen. Sie wird als Ransomware-as-a-Service vertrieben, […]
Erkennungsinhalt: Ransom X Verhalten
Eine weitere Ransomware-Familie erschien in diesem Frühjahr und wird aktiv in gezielten Angriffen auf Unternehmen und Regierungsbehörden eingesetzt. Mitte Mai griffen Cyberkriminelle das Netzwerk des Texas Department of Transportation an, jedoch wurde der unbefugte Zugriff entdeckt, und infolgedessen wurde nur ein Teil der Systeme verschlüsselt. Bei diesem Angriff wurde eine neue Ransomware – Ransom X […]
Threat Hunting Inhalt: Erkennung von Taurus Stealer
Die Taurus-Information stehlende Malware ist ein relativ neues Tool, das vom Predator The Thief-Team erstellt wurde, das sie in Hacker-Foren bewirbt. Der Infostealer kann sensible Daten von Browsern, Kryptowährungs-Wallets, FTP, E-Mail-Clients und verschiedenen Apps stehlen. Die Malware ist hochgradig ausweichend und umfasst Techniken, um der Erkennung durch Sandboxes zu entgehen. Angreifer haben ein Dashboard entwickelt, […]
Erkennungsinhalt: Verhalten der PsiXBot-Malware
Da Google und Mozilla die weitverbreitete Nutzung des DNS-over-HTTPS-Protokolls fördern, nutzen auch immer mehr Malware-Autoren diese ideale Gelegenheit, um schädlichen Datenverkehr zu verbergen. Die kürzlich entdeckten Versionen von PsiXBot missbrauchen den DoH-Dienst von Google, um die IPs für die Command-and-Control-Infrastruktur abzurufen. Die Malware erschien 2017 als einfacher Infostealer, der in der Lage ist, Cookies und […]
Regel der Woche: Cobalt Strike über mehrstufigen APT-Angriff ausgeliefert
Diesen Monat haben Forscher entdeckt einen mehrstufigen Angriff durch eine nicht näher definierte APT-Gruppe. Während dieses Angriffs nutzten die Angreifer die Malleable C2-Funktion in Cobalt Strike, um C&C-Kommunikationen durchzuführen und die endgültige Nutzlast zu liefern. Forscher stellen fest, dass Angreifer fortschrittliche Umgehungstechniken verwenden. Sie beobachteten eine absichtliche Verzögerung bei der Ausführung der Nutzlast aus dem […]
Erweiterter Community-Zugang und kostenlose Testversionen im Threat Detection Marketplace
Bei SOC Prime entwickeln wir ständig unsere Produkte weiter, die Cybersecurity-Praktikern helfen, über die neuesten Bedrohungen und Angriffsmethoden auf dem Laufenden zu bleiben und maßgeschneiderte Erkennungen und Analysedaten für jede Unternehmensumgebung zur Hand zu haben. Für mehr Transparenz ermöglicht die neu eingeführte Dashboard-Seite, einen Überblick über die Aktivitäten Ihres Unternehmens auf dem Threat Detection Marketplace […]
Bedrohungssuche Inhalt: Bösartiger Payload in gefälschten Windows-Fehlerprotokollen
Letzte Woche entdeckten Sicherheitsforscher eine neugierige Methode, um die bösartige Nutzlast im Klartext zu verbergen, und diese Methode wird aktiv in freier Wildbahn verwendet. Gegner verwenden gefälschte Fehlerprotokolle, um ASCII-Zeichen zu speichern, die als Hexadezimalwerte getarnt sind und eine bösartige Nutzlast dekodieren, die den Boden für skriptbasierte Angriffe bereitet. In dem entdeckten Szenario setzten Cyberkriminelle […]
Erkennungsinhalt: Aufspüren von DLLs, die über MS Office geladen werden
Es ist kein Geheimnis, dass Phishing-Angriffe eine der effektivsten Methoden sind, um das Ziel mit Malware zu infizieren. In der Regel erwarten die Angreifer, den Benutzer zu überzeugen, ein bösartiges Dokument zu öffnen und Makros zu aktivieren oder Schwachstellen in MS Office zu nutzen, um Malware zu verbreiten. Wir veröffentlichen regelmäßig Regeln (1, 2, 3) […]
Regelübersicht: RATs, Infostealer und Emotet-Malware
Heute ist Samstag, was bedeutet, dass es Zeit für unser nächstes Regel-Digestist, in dem wir Ihnen interessante Inhalte zur Malwarenerkennung vorstellen, die in dieser Woche veröffentlicht wurden. Und ja, wir legen erneut besonderen Wert auf die Regeln, die Teilnehmer des Threat-Bounty-Programms veröffentlicht haben. Wir beginnen mit der Regel, die von Ariel Millahuelveröffentlicht wurde und Sicherheitssystemen […]