Wir beginnen die Woche mit einer neuen Regel von Emir Erdogan – HawkEye Multiple Detection (Covid19 Thematisierte Phishing-Kampagne). Diese Malware ist auch als Predator Pain bekannt und stiehlt eine Vielzahl sensibler Informationen vom infizierten System, darunter Bitcoin-Wallet-Informationen und Anmeldedaten fĂĽr Browser und E-Mail-Clients. Der Stealer ist in der Lage, Screenshots zu machen und kann als […]
Regelzusammenfassung: RCE, CVE, OilRig und mehr
Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debĂĽtieren mit CVE-2020-0932: Eine Remote-Code-AusfĂĽhrungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszufĂĽhren. Die Standardkonfiguration von […]
Regel der Woche: Nefilim/Nephilim Ransomware-Erkennung
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]
Bedrohungsjagd Inhalte: Remcos RAT COVID19-Kampagnen
Remcos RAT wurde erstmals 2016 entdeckt. Jetzt gibt es vor, ein legitimes Fernzugriffstool zu sein, aber es wurde in mehreren globalen Hacker-Kampagnen eingesetzt. Auf verschiedenen Websites und Foren werben, verkaufen und bieten Cyberkriminelle die geknackte Version dieser Malware an. Seit dem Ende Februar, haben Sicherheitsforscher mehrere Kampagnen entdeckt, die den Remcos Trojaner verteilen und das […]
Erkennungsinhalt: Floxif Trojaner
Der Floxif-Trojaner ist hauptsächlich dafĂĽr bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um […]
Benutzerdefinierte Felder Zuordnung
Dieser Blog-Beitrag beschreibt die benutzerdefinierte Daten-Schema-Mapping-Funktion, die auf dem SOC Prime Threat Detection Marketplace fĂĽr Premium-Abonnementpläne verfĂĽgbar ist. Das benutzerdefinierte Daten-Schema-Mapping ermöglicht es den Benutzern, eine benutzerdefinierte Mapping-Konfiguration fĂĽr die meisten Protokollquellen und Plattformen zu erstellen, die automatisch auf Regeln angewendet werden kann auf Threat Detection Marketplace , um sie mit Ihrer Plattform kompatibler zu […]
Regelzusammenfassung: Webserver-Sicherheit und Trojaner-Erkennung
Wir lenken Ihre Aufmerksamkeit weiterhin auf Regeln, deren Fähigkeiten ĂĽber die ĂĽblichen Erkennungsinhalte hinausgehen, die Sysmon-Protokolle analysieren. Heute in unserem Digest gibt es zwei Regeln zur Erkennung von Angriffen auf Webserver, eine Fortsetzung einer Regelreihe (1, 2) zur Entdeckung von Spuren von Angriffen der Outlaw-Hackergruppe, und Erkennungsinhalte, die das GRIFFON-Backdoor und den Qulab-Trojaner aufdecken. Verdächtige […]
IOC-Regel: Banking-Trojaner Grandoreiro
Ein kĂĽrzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenĂĽber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung […]
SIGMA vs Indikatoren des Kompromisses
Zweck Zweck dieses Beitrags ist es, die Vorteile der Verwendung von SIGMA gegenĂĽber IOC-basierten Erkennungen hervorzuheben. EinfĂĽhrung Indicators of Compromise (IOCs) – IPs, Domains, Hashes, Dateinamen usw., wie von Sicherheitsforschern berichtet, werden gegen Systeme und SIEMs abgefragt, um Eindringversuche zu erkennen. Diese Indikatoren funktionieren bei bekannten Angriffen und haben eine kurze Nutzungsdauer, die sich am […]
Erkennungsinhalt: COVID-19-bezogener Angriff auf medizinische Lieferanten
Neue Sigma-Regel von Osman Demir hilft, COVID-19-bezogene Phishing-Angriffe auf medizinische Lieferanten zu erkennen. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ Die Kampagne wurde Ende letzter Woche bekannt und Forscher glauben, dass sie mit 419-BetrĂĽgern in Verbindung steht, die die COVID-19-Pandemie ausnutzen, um Business E-Mail Compromise-Angriffe. Gegner senden hochgradig gezielte Phishing-E-Mails mit bösartigen MS Word-Dokumenten, in denen nach verschiedenen Materialien gefragt wird, […]