In einem unserer Threat Hunting-Inhalte Blogbeiträge haben wir bereits eine Regel zur Erkennung von Avaddon-Ransomware, einer neuen Ransomware-as-a-Service-Variante, die erstmals Anfang Juni entdeckt wurde. Einer der aktivsten Verteiler der Avaddon-Ransomware ist das Phorpiex-Botnetz, das sich kürzlich von Verlusten erholt hat, die es Anfang dieses Jahres erlitten hat. Infizierte Systeme können Zehntausende von E-Mails pro Stunde […]
Regelübersicht: Valak und HanaLoader Malware, Missbrauch von MSBuild und mehr
Und wieder freuen wir uns, Ihnen unser Regel-Überblickvorzustellen, der diesmal nicht nur die Erkennungsinhalte der Teilnehmer des Threat Bounty Program zeigt, sondern auch die des SOC Prime Teams. Heute erzählen wir Ihnen ein wenig über Valak- und HanaLoader-Malware, die Erkennung von Datenabzügen und den Missbrauch von MSBuild sowie das Hijacking von Kommandozeilenargumenten. Die Valak-Malware ist […]
Regel der Woche: Verschleiertes DLL-Laden / AWL-Umgehung
Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL […]
Threat-Hunting-Inhalte: CertReq.exe Lolbin
Living off the Land-Binärdateien (Lolbins) sind legitime Binärdateien, die fortgeschrittene Gegner oft missbrauchen, um Aktionen auszuführen, die über ihren ursprünglichen Zweck hinausgehen. Cyberkriminelle nutzen sie aktiv, um Malware herunterzuladen, Persistenz sicherzustellen, Daten zu exfiltrieren, sich lateral zu bewegen und mehr. Erst gestern haben wir über eine Regel geschrieben, die Angriffe der Evil Corp-Gruppe erkennt, welche […]
Erkennungsinhalt: WastedLocker Ransomware
Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten. Im vergangenen Jahr verließ ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit […]
Threat Hunting-Inhalte: DropboxAES RAT-Erkennung
Heute möchten wir Ihnen vom DropboxAES-Trojaner erzählen, der von der APT31-Gruppe in Cyber-Spionage-Kampagnen eingesetzt wird, und auch einen Link zur Community Sigma-Regel geben, um diese Malware zu erkennen. Im Allgemeinen hebt sich DropboxAES nicht von anderen Remote-Access-Trojanern ab. Dies ist ein relativ neues Werkzeug im Arsenal der APT31 (auch bekannt als BRONZE VINEWOOD). Die Malware […]
CVE-2020-5903-Schwachstellen in F5s BIG-IP ermöglichen vollständige Systemkompromittierung
Letzte Woche veröffentlichte F5 Networks, einer der weltweit größten Anbieter von Netzwerklösungen für die Anwendungsbereitstellung, eine Sicherheitswarnung, um ihre Kunden vor einer gefährlichen Schwachstelle zu warnen, die Cyberkriminelle in naher Zukunft ausnutzen könnten, falls sie nicht bereits aktiv im Umlauf ausgenutzt wird. Die Sicherheitslücke wurde in multifunktionalen Netzwerkgeräten (BIG-IP) entdeckt, die als Load Balancer, SSL-Middleware, […]
Regelübersicht: Trojaner und Ransomware
Im heutigen Digest möchten wir die Inhalte hervorheben, die von Mitgliedern des Threat Bounty Program bereitgestellt wurden, um Sicherheitstools bei der Erkennung des Saefko RAT, Ursa Trojaners und einer Reihe aktiv verbreiteter Ransomware-Stämme zu unterstützen. Der Saefko RAT ist ein relativ frischer Remote-Access-Trojaner, der in .NET geschrieben und Mitte 2019 erstmals gesichtet wurde. Der Saefko […]
Regel der Woche: Thanos Ransomware
Heute in der Sektion Regel der Woche empfehlen wir, die Regel zu beachten, die von Emir Erdoganveröffentlicht wurde. Die neue Regel hilft, Thanos-Ransomware zu erkennen, die die RIPlace-Taktik verwendet, um Anti-Ransomware-Lösungen zu umgehen: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos-Ransomware erschien erstmals Ende letzten Jahres, und ihre Autoren bewarben sie in Untergrundforen und geschlossenen Kanälen. Sie wird als Ransomware-as-a-Service vertrieben, […]
Erkennungsinhalt: Ransom X Verhalten
Eine weitere Ransomware-Familie erschien in diesem Frühjahr und wird aktiv in gezielten Angriffen auf Unternehmen und Regierungsbehörden eingesetzt. Mitte Mai griffen Cyberkriminelle das Netzwerk des Texas Department of Transportation an, jedoch wurde der unbefugte Zugriff entdeckt, und infolgedessen wurde nur ein Teil der Systeme verschlüsselt. Bei diesem Angriff wurde eine neue Ransomware – Ransom X […]