Hallo zusammen, wir sind zurück mit fünf neuen Regeln, die diese Woche von Teilnehmern des Threat Bounty Programeingereicht wurden. Sie können unsere vorherigen Zusammenfassungen hiernachlesen, und wenn Sie Fragen haben, dann willkommen im Chat. Die Pykspa wurmähnliche Malware kann sich selbst installieren, um persistenz zu gewährleisten, eingehende Ports für zusätzliche Befehle abhören und weitere bösartige […]
Regel der Woche: Befehlsausführung auf Azure VM
In der Regel der Woche Rubrik präsentieren wir Ihnen die Befehlsausführung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, […]
Erkennungsinhalt: Himera Loader
Der heutige Beitrag ist dem Himera-Loader-Malware gewidmet, die von Angreifern in COVID-19-bezogenen Phishing-Kampagnen seit dem letzten Monat verwendet wird. Cyberkriminelle nutzen weiterhin Anfragen im Rahmen des Family and Medical Leave Act im Zusammenhang mit den laufenden COVID-19-Pandemien als Köder, da dieses Thema sich bereits als effektiv erwiesen hat, um Trickbot und Kpot Info-Stealer zu verbreiten. […]
Bedrohungsjagd-Inhalt: AsyncRat-Erkennung
Heute, in der Threat Hunting Inhalte Kolumne, wecken wir Ihr Interesse an der AsyncRAT Erkennung (Sysmon-Verhalten) Community-Regel von Emir Erdogan. Die Regel ermöglicht die Erkennung von AsyncRat durch Verwendung von Sysmon-Protokollen. Laut dem Autor des Projekts auf GitHub, ist AsyncRat ein Remote Access Tool, das entwickelt wurde, um andere Computer über eine sicher verschlüsselte Verbindung […]
Erkennungsinhalte: APT38-Malware
Wir haben kürzlich eine Regel veröffentlicht, um eines der neuesten Werkzeuge der berüchtigten APT38-Gruppe, auch bekannt als Lazarus oder Hidden Cobra, zu entdecken. Und es ist an der Zeit, weiterhin Inhalte zu veröffentlichen, um diese hochentwickelte Cyberkriminellengruppe zu entlarven. Im heutigen Artikel geben wir die Links zu frischen Erkennungsinhalten von einem der ersten Teilnehmer des […]
Bedrohungsjagd-Inhalt: Devil Shadow Botnet
Heutzutage verwenden viele Organisationen während der Ausgangssperre weiterhin Zoom auf Unternehmensebene, um Konferenzen abzuhalten, trotz der Sicherheitsprobleme, die in dieser Anwendung gefunden wurden. Angreifer haben die gestiegene Popularität dieser Anwendung seit mehreren Monaten ausgenutzt, und Sie können Ihre Organisation teilweise vor Angriffen schützen, indem Sie den Zoom-Dienst härten. Aber das wird das Problem nicht vollständig […]
Regelübersicht: Erkennungsinhalte des SOC Prime Teams
Wir freuen uns, Ihnen den neuesten Rule Digest zu präsentieren, der sich im Gegensatz zu dem vorherigen Digestnur aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten über die Befehlszeile durch die Analyse von Sysmon-Logs zu finden. Aber bevor wir direkt […]
Regel der Woche: Turla-Gruppe
Die Turla APT ist seit 2004 aktiv und führt Cyber-Spionagekampagnen durch, die auf eine Vielzahl von Branchen abzielen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und Pharmaunternehmen in Europa, dem Nahen Osten, Asien und Südamerika. Dies ist einer der fortschrittlichsten von Russland staatlich unterstützten Bedrohungsakteure, bekannt für seine ausgeklügelten Werkzeuge und ungewöhnlichen Ideen während der Angriffe. […]
Erkennungsinhalt: Scarab-Ransomware
Scarab Ransomware wurde erstmals im Juni 2017 entdeckt und tauchte seitdem mit neuen Versionen wieder auf. Diese Ransomware ist eine von vielen HiddenTear-Varianten, einem Open-Source-Ransomware-Trojaner, der 2015 veröffentlicht wurde. Die kürzlich entdeckten Ransomware-Versionen verwenden eine verbesserte RSA-Verschlüsselungsmethode und fügen infizierten Dateien verschiedene Erweiterungen hinzu. Die Scarab-Ransomware stört alternative Wiederherstellungsmethoden, indem sie die Windows-Wiederherstellungspunkte und die […]
Aktualisierungen des SOC Prime Threat Detection Marketplace: Mai 2020
Wir suchen ständig nach Möglichkeiten, Ihre Erfahrung mit SOC Prime zu verbessern Threat Detection Marketplace (TDM) und heute freuen wir uns sehr, Ihnen unsere neuesten Updates und Verbesserungen vorzustellen. Neues UI für Regelpakete Wir haben das Regelpaket eingängiger gemacht mit seinem neu gestalteten Look-and-Feel. Mit dieser Veröffentlichung zeigt jedes ausgewählte Regelpaket alle Details auf […]