SOC Prime Threat Detection Marktplatz (SOC Prime TDM) wurde als SaaS-Inhaltsplattform erstellt, die Unternehmen dabei unterstützt, ihre Sicherheitsanalytik zu verbessern. Daher gehören die Beschleunigung analytischer Fähigkeiten und die Bereitstellung von Echtzeitstatistiken zu den Kernfunktionen, die wir bei SOC Prime als von höchstem Wert betrachten. Datenvisualisierung hilft dabei, Daten auf eine intuitivere Weise zu präsentieren und […]
Bedrohungsjagd-Inhalt: SamoRAT-Verhalten
Heute im Abschnitt Bedrohungssuche möchten wir auf die Community-Regel aufmerksam machen, die im Threat Detection Marketplace von Ariel Millahuel veröffentlicht wurde, die frische Proben der SamoRAT-Malware erkennt: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Dieses Remote-Access-Trojaner erschien auf den Radaren der Forscher kürzlich, die ersten SamoRAT-Proben wurden vor etwa einem Monat entdeckt. Der Trojaner ist eine .NET-basierte Malware, die hauptsächlich von […]
Erkennungsinhalt: Phorpiex Trojaner
In einem unserer Threat Hunting-Inhalte Blogbeiträge haben wir bereits eine Regel zur Erkennung von Avaddon-Ransomware, einer neuen Ransomware-as-a-Service-Variante, die erstmals Anfang Juni entdeckt wurde. Einer der aktivsten Verteiler der Avaddon-Ransomware ist das Phorpiex-Botnetz, das sich kürzlich von Verlusten erholt hat, die es Anfang dieses Jahres erlitten hat. Infizierte Systeme können Zehntausende von E-Mails pro Stunde […]
Regelübersicht: Valak und HanaLoader Malware, Missbrauch von MSBuild und mehr
Und wieder freuen wir uns, Ihnen unser Regel-Überblickvorzustellen, der diesmal nicht nur die Erkennungsinhalte der Teilnehmer des Threat Bounty Program zeigt, sondern auch die des SOC Prime Teams. Heute erzählen wir Ihnen ein wenig über Valak- und HanaLoader-Malware, die Erkennung von Datenabzügen und den Missbrauch von MSBuild sowie das Hijacking von Kommandozeilenargumenten. Die Valak-Malware ist […]
Regel der Woche: Verschleiertes DLL-Laden / AWL-Umgehung
Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL […]
Threat-Hunting-Inhalte: CertReq.exe Lolbin
Living off the Land-Binärdateien (Lolbins) sind legitime Binärdateien, die fortgeschrittene Gegner oft missbrauchen, um Aktionen auszuführen, die über ihren ursprünglichen Zweck hinausgehen. Cyberkriminelle nutzen sie aktiv, um Malware herunterzuladen, Persistenz sicherzustellen, Daten zu exfiltrieren, sich lateral zu bewegen und mehr. Erst gestern haben wir über eine Regel geschrieben, die Angriffe der Evil Corp-Gruppe erkennt, welche […]
Erkennungsinhalt: WastedLocker Ransomware
Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten. Im vergangenen Jahr verließ ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit […]
Threat Hunting-Inhalte: DropboxAES RAT-Erkennung
Heute möchten wir Ihnen vom DropboxAES-Trojaner erzählen, der von der APT31-Gruppe in Cyber-Spionage-Kampagnen eingesetzt wird, und auch einen Link zur Community Sigma-Regel geben, um diese Malware zu erkennen. Im Allgemeinen hebt sich DropboxAES nicht von anderen Remote-Access-Trojanern ab. Dies ist ein relativ neues Werkzeug im Arsenal der APT31 (auch bekannt als BRONZE VINEWOOD). Die Malware […]
CVE-2020-5903-Schwachstellen in F5s BIG-IP ermöglichen vollständige Systemkompromittierung
Letzte Woche veröffentlichte F5 Networks, einer der weltweit größten Anbieter von Netzwerklösungen für die Anwendungsbereitstellung, eine Sicherheitswarnung, um ihre Kunden vor einer gefährlichen Schwachstelle zu warnen, die Cyberkriminelle in naher Zukunft ausnutzen könnten, falls sie nicht bereits aktiv im Umlauf ausgenutzt wird. Die Sicherheitslücke wurde in multifunktionalen Netzwerkgeräten (BIG-IP) entdeckt, die als Load Balancer, SSL-Middleware, […]
Regelübersicht: Trojaner und Ransomware
Im heutigen Digest möchten wir die Inhalte hervorheben, die von Mitgliedern des Threat Bounty Program bereitgestellt wurden, um Sicherheitstools bei der Erkennung des Saefko RAT, Ursa Trojaners und einer Reihe aktiv verbreiteter Ransomware-Stämme zu unterstützen. Der Saefko RAT ist ein relativ frischer Remote-Access-Trojaner, der in .NET geschrieben und Mitte 2019 erstmals gesichtet wurde. Der Saefko […]