Wir lenken Ihre Aufmerksamkeit weiterhin auf Regeln, deren Fähigkeiten ĂĽber die ĂĽblichen Erkennungsinhalte hinausgehen, die Sysmon-Protokolle analysieren. Heute in unserem Digest gibt es zwei Regeln zur Erkennung von Angriffen auf Webserver, eine Fortsetzung einer Regelreihe (1, 2) zur Entdeckung von Spuren von Angriffen der Outlaw-Hackergruppe, und Erkennungsinhalte, die das GRIFFON-Backdoor und den Qulab-Trojaner aufdecken. Verdächtige […]
IOC-Regel: Banking-Trojaner Grandoreiro
Ein kĂĽrzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenĂĽber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung […]
SIGMA vs Indikatoren des Kompromisses
Zweck Zweck dieses Beitrags ist es, die Vorteile der Verwendung von SIGMA gegenĂĽber IOC-basierten Erkennungen hervorzuheben. EinfĂĽhrung Indicators of Compromise (IOCs) – IPs, Domains, Hashes, Dateinamen usw., wie von Sicherheitsforschern berichtet, werden gegen Systeme und SIEMs abgefragt, um Eindringversuche zu erkennen. Diese Indikatoren funktionieren bei bekannten Angriffen und haben eine kurze Nutzungsdauer, die sich am […]
Erkennungsinhalt: COVID-19-bezogener Angriff auf medizinische Lieferanten
Neue Sigma-Regel von Osman Demir hilft, COVID-19-bezogene Phishing-Angriffe auf medizinische Lieferanten zu erkennen. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ Die Kampagne wurde Ende letzter Woche bekannt und Forscher glauben, dass sie mit 419-BetrĂĽgern in Verbindung steht, die die COVID-19-Pandemie ausnutzen, um Business E-Mail Compromise-Angriffe. Gegner senden hochgradig gezielte Phishing-E-Mails mit bösartigen MS Word-Dokumenten, in denen nach verschiedenen Materialien gefragt wird, […]
SOC Prime & Humio Integration: Technische Höhepunkte
SOC Prime betreibt die größte und fortschrittlichste Plattform fĂĽr kollaborative Cyberabwehr, die globalen Organisationen ermöglicht, effizient nach aufkommenden Bedrohungen mit Lichtgeschwindigkeit zu suchen. SOC Primes Detection as Code Plattform kuratierte die aktuellsten Sigma-basierten Bedrohungserkennungsinhalte und integriert sich mit mehr als 25 SIEM-, EDR- und XDR-Plattformen. Eine umfangreiche Sammlung von ĂĽber 180.000 verifizierten und kontextangereicherten Erkennungs- […]
Sigma-Regel: Outlaw-Hackergruppe
SOC Prime Team veröffentlichte eine neue Sigma-Regel basierend auf IOCs, die die bekannten Indikatoren der Outlaw-Hackergruppe erkennen kann. PrĂĽfen Sie den Link, um die verfĂĽgbaren Ăśbersetzungen auf dem Threat Detection Marketplace anzusehen: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ AuĂźerdem können Sie Uncoder verwenden, um die Sigma-Regel in eine Reihe von unterstĂĽtzten Plattformen zu konvertieren, ohne Zugriff auf Ihre SIEM-Umgebung. KĂĽrzlich haben […]
Regel-Digest. APT & Malware: Diese Woche veröffentlichte Inhalte
Diese Woche standen die Regeln zur Erkennung von Malware und APT-Aktivitäten sowohl von unserem Team als auch von den Teilnehmern des SOC Prime Threat Bounty Programms im Rampenlicht. In den Zusammenfassungen versuchen wir, Ihre Aufmerksamkeit auf interessante Regeln zu lenken, die in der letzten Woche veröffentlicht wurden. APT StrongPity von Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 StrongPity […]
Regel der Woche: Mögliche bösartige Datei mit doppelter Erweiterung
Gegner können bösartige ausfĂĽhrbare Dateien als Bilder, Dokumente oder Archive tarnen, Dateisymbole ersetzen und gefälschte Erweiterungen zu den Dateinamen hinzufĂĽgen. Solche „gestalteten“ Dateien werden häufig als Anhänge in Phishing-E-Mails verwendet, und dies ist eine ziemlich effektive Methode, um Windows-Systeme zu infizieren, da die Option „Bekannte Dateitypen-Erweiterungen ausblenden“ standardmäßig fĂĽr Windows XP und neuere Systeme aktiviert […]
Bedrohungsjagd-Inhalte: Bladabindi-HintertĂĽr aufdecken
Die Bladabindi-HintertĂĽr ist mindestens seit 2013 bekannt. Ihre Autoren ĂĽberwachen Cybersecurity-Trends und verbessern die HintertĂĽr, um deren Entdeckung zu verhindern: Sie kompilieren, aktualisieren und hashen sie neu, sodass IOCs-basierte Erkennung fast nutzlos ist. Im Jahr 2018 wurde die Bladabindi-HintertĂĽr dateilos und als sekundärer Payload verwendet, der durch die njRAT / Njw0rm-Malware ausgeliefert wurde. Die HintertĂĽr […]
Splendid SOC Prime TDM Update im April
Mit dieser Veröffentlichung haben wir groĂźartige Arbeit geleistet, und heute freuen wir uns, unsere neuen funkelnden Funktionen und Verbesserungen im SOC Prime Threat Detection Marketplace (TDM) vorzustellen. Sehen Sie sich an, was neu ist.Neue PlattformenDie am meisten gewĂĽnschte Neuerung ist die UnterstĂĽtzung einiger beliebter Plattformen.CrowdStrikeSie können jetzt Bedrohungen im CrowdStrike-Umfeld mit TDM-Regeln aufspĂĽren. Der Integrationsknopf […]