Wir beginnen die Woche mit einer neuen Regel von Emir Erdogan – HawkEye Multiple Detection (Covid19 Thematisierte Phishing-Kampagne). Diese Malware ist auch als Predator Pain bekannt und stiehlt eine Vielzahl sensibler Informationen vom infizierten System, darunter Bitcoin-Wallet-Informationen und Anmeldedaten für Browser und E-Mail-Clients. Der Stealer ist in der Lage, Screenshots zu machen und kann als […]
Regelzusammenfassung: RCE, CVE, OilRig und mehr
Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debütieren mit CVE-2020-0932: Eine Remote-Code-Ausführungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszuführen. Die Standardkonfiguration von […]
Regel der Woche: Nefilim/Nephilim Ransomware-Erkennung
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]
Bedrohungsjagd Inhalte: Remcos RAT COVID19-Kampagnen
Remcos RAT wurde erstmals 2016 entdeckt. Jetzt gibt es vor, ein legitimes Fernzugriffstool zu sein, aber es wurde in mehreren globalen Hacker-Kampagnen eingesetzt. Auf verschiedenen Websites und Foren werben, verkaufen und bieten Cyberkriminelle die geknackte Version dieser Malware an. Seit dem Ende Februar, haben Sicherheitsforscher mehrere Kampagnen entdeckt, die den Remcos Trojaner verteilen und das […]
Erkennungsinhalt: Floxif Trojaner
Der Floxif-Trojaner ist hauptsächlich dafür bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um […]
Benutzerdefinierte Felder Zuordnung
Dieser Blog-Beitrag beschreibt die benutzerdefinierte Daten-Schema-Mapping-Funktion, die auf dem SOC Prime Threat Detection Marketplace für Premium-Abonnementpläne verfügbar ist. Das benutzerdefinierte Daten-Schema-Mapping ermöglicht es den Benutzern, eine benutzerdefinierte Mapping-Konfiguration für die meisten Protokollquellen und Plattformen zu erstellen, die automatisch auf Regeln angewendet werden kann auf Threat Detection Marketplace , um sie mit Ihrer Plattform kompatibler zu […]
Regelzusammenfassung: Webserver-Sicherheit und Trojaner-Erkennung
Wir lenken Ihre Aufmerksamkeit weiterhin auf Regeln, deren Fähigkeiten über die üblichen Erkennungsinhalte hinausgehen, die Sysmon-Protokolle analysieren. Heute in unserem Digest gibt es zwei Regeln zur Erkennung von Angriffen auf Webserver, eine Fortsetzung einer Regelreihe (1, 2) zur Entdeckung von Spuren von Angriffen der Outlaw-Hackergruppe, und Erkennungsinhalte, die das GRIFFON-Backdoor und den Qulab-Trojaner aufdecken. Verdächtige […]
IOC-Regel: Banking-Trojaner Grandoreiro
Ein kürzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenüber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung […]
SIGMA vs Indikatoren des Kompromisses
Zweck Zweck dieses Beitrags ist es, die Vorteile der Verwendung von SIGMA gegenüber IOC-basierten Erkennungen hervorzuheben. Einführung Indicators of Compromise (IOCs) – IPs, Domains, Hashes, Dateinamen usw., wie von Sicherheitsforschern berichtet, werden gegen Systeme und SIEMs abgefragt, um Eindringversuche zu erkennen. Diese Indikatoren funktionieren bei bekannten Angriffen und haben eine kurze Nutzungsdauer, die sich am […]
Erkennungsinhalt: COVID-19-bezogener Angriff auf medizinische Lieferanten
Neue Sigma-Regel von Osman Demir hilft, COVID-19-bezogene Phishing-Angriffe auf medizinische Lieferanten zu erkennen. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ Die Kampagne wurde Ende letzter Woche bekannt und Forscher glauben, dass sie mit 419-Betrügern in Verbindung steht, die die COVID-19-Pandemie ausnutzen, um Business E-Mail Compromise-Angriffe. Gegner senden hochgradig gezielte Phishing-E-Mails mit bösartigen MS Word-Dokumenten, in denen nach verschiedenen Materialien gefragt wird, […]