Denn nie war eine Geschichte voller Leid als die von Emotet, der einmal mehr zurückkehrt. Diesmal gab es etwa sieben Monate lang keine großangelegten Kampagnen, obwohl vereinzelte Infektionsfälle aufgezeichnet wurden und Forscher Dokumente fanden, die diese Malware verteilten. Die Angriffe wurden letzten Freitag wieder aufgenommen, wobei das Botnetz innerhalb weniger Stunden etwa 250.000 E-Mails versandte, […]
CVE-2020-3452: Unauthentifizierter Dateizugriff in Cisco ASA & Cisco Firepower Erkennung
Erneut weichen wir vom üblichen Veröffentlichungszyklus ab, da ein Exploit für die kritische Schwachstelle CVE-2020-3452 in Cisco ASA & Cisco Firepower aufgetaucht ist, ebenso wie Regeln zur Erkennung der Ausnutzung dieser Schwachstelle. CVE-2020-3452 – noch ein Kopfschmerz im Juli CVE-2020-3452 wurde Ende letzten Jahres entdeckt, aber erst letzte Woche wurde sie veröffentlicht, als Cisco ein […]
Erkennungsinhalt: Formbook über gefälschte PDF-Datei (Sysmon-Verhalten)
Der Covid19-Ausbruch hat eine Reihe von Schwachstellen in der Cybersicherheit offenbart. Wir tun unser Bestes, um Sie über die neuesten Trends in unseren Weekly Talks, Webinaren und relevanten Content-Digests auf dem Laufenden zu halten. Doch menschliche Neugierde in der Informationsflut kann eine Schwachstelle sein. FormBook, der seit 2016 bekannte Infostealer, wird aktiv über eine E-Mail-Kampagne […]
Inhalt zur Bedrohungssuche: Absturz von DNS.exe (Mögliche Erkennung von CVE-2020-1350)
Der Juli erwies sich als fruchtbar für veröffentlichte kritische Schwachstellen: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), und CVE-2020-1350 (auch bekannt als SIGRed, die Schwachstelle in Microsoft Windows DNS Server). Letzte Woche veröffentlichten Mitwirkende des Threat Bounty Program und das SOC Prime-Team […]
Erkennung von Inhalten: Hancitor Trojaner
Der heutige Beitrag handelt von neuen Versionen des Hancitor-Trojaners und ein paar Regeln, die von Threat Bounty Program Teilnehmern veröffentlicht wurden, die es Sicherheitslösungen ermöglichen, sie zu erkennen. Hancitor Trojaner (Umgehungstechnik) Gemeinschaftsregel von Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Hancitor-Infektion mit Ursnif exklusive Regel von Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Diese Malware trat 2013 auf und wurde Ende letzten Jahres […]
Regelübersicht: CobaltStrike, APT10 und APT41
Wir freuen uns, Ihnen das regelmäßige Regel-Digestpräsentieren zu können, das ausschließlich aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten von APT-Gruppen aufzudecken, die mit der chinesischen Regierung in Verbindung stehen und das CobaltStrike-Tool in Cyber-Spionagekampagnen häufig verwenden. Doch bevor wir […]
Erkennung von Inhalten: GoldenHelper-Verhalten
Diese Woche werden wir im Abschnitt „Regel der Woche“ keine Regel hervorheben, da die heißesten Regeln bereits im gestrigen Spezialdigest veröffentlicht wurden, der den Regeln gewidmet ist, die die Ausnutzung einer kritischen Schwachstelle in Windows DNS Servern, CVE-2020-1350 (auch bekannt als SIGRed), erkennen. Die heutige Veröffentlichung ist der Erkennung von GoldenHelper-Malware gewidmet, die in offizielle […]
CVE-2020-1350 (SIGRed) Exploitierungserkennung mit Bedrohungsjagdrichtlinien
Heute stellen wir eine besondere Zusammenstellung von Inhalten vor, die bei der Erkennung der Ausnutzung einer kritischen Schwachstelle in Windows-DNS-Servern helfen. Die Schwachstelle wurde erst vor zwei Tagen bekannt, aber seitdem haben sowohl das SOC-Prime-Team (vertreten durch Nate Guagenty) als auch die Teilnehmer des Threat Bounty Programms über 10 Regeln zur Erkennung verschiedener Arten der […]
Unternehmens-Dashboard: Einblicke in Ihre Aktivitäten im Threat Detection Marketplace
SOC Prime Threat Detection Marktplatz (SOC Prime TDM) wurde als SaaS-Inhaltsplattform erstellt, die Unternehmen dabei unterstützt, ihre Sicherheitsanalytik zu verbessern. Daher gehören die Beschleunigung analytischer Fähigkeiten und die Bereitstellung von Echtzeitstatistiken zu den Kernfunktionen, die wir bei SOC Prime als von höchstem Wert betrachten. Datenvisualisierung hilft dabei, Daten auf eine intuitivere Weise zu präsentieren und […]
Bedrohungsjagd-Inhalt: SamoRAT-Verhalten
Heute im Abschnitt Bedrohungssuche möchten wir auf die Community-Regel aufmerksam machen, die im Threat Detection Marketplace von Ariel Millahuel veröffentlicht wurde, die frische Proben der SamoRAT-Malware erkennt: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Dieses Remote-Access-Trojaner erschien auf den Radaren der Forscher kürzlich, die ersten SamoRAT-Proben wurden vor etwa einem Monat entdeckt. Der Trojaner ist eine .NET-basierte Malware, die hauptsächlich von […]