Diese Woche wurde die Cybersicherheitsgemeinschaft von der Nachricht erschüttert, dass eines der führenden Sicherheitsunternehmen kompromittiert wurde von einer ungenannten, hoch entwickelten APT-Gruppe. Die Gegner waren an Red-Team-Tools interessiert, die von FireEye verwendet werden, um die Sicherheit ihrer Kunden zu testen, und suchten nach Informationen zu Regierungskunden. Eine Untersuchung läuft und die F.B.I. Cyber Division ist […]
Viele unserer jüngsten Veröffentlichungen waren verschiedenen Ransomware-Stämmen gewidmet, und die Regeln zur Erkennung von Matrix-Ransomware-Merkmalen werden nicht dabei helfen, Ragnar Locker oder Maze zu identifizieren. Die Malware ändert sich ständig: Ihre Autoren ändern nicht nur die den Sicherheitsforschern bekannten IOCs, sondern auch das Verhalten, um die Inhalte zur Bedrohungssuche gegen ihre ‚Erfindungen‘ nutzlos zu machen. […]
Und wieder freuen wir uns, Ihnen unser Regel-Ãœberblickvorzustellen, der diesmal nicht nur die Erkennungsinhalte der Teilnehmer des Threat Bounty Program zeigt, sondern auch die des SOC Prime Teams. Heute erzählen wir Ihnen ein wenig über Valak- und HanaLoader-Malware, die Erkennung von Datenabzügen und den Missbrauch von MSBuild sowie das Hijacking von Kommandozeilenargumenten. Die Valak-Malware ist […]
Im heutigen Digest möchten wir die Inhalte hervorheben, die von Mitgliedern des Threat Bounty Program bereitgestellt wurden, um Sicherheitstools bei der Erkennung des Saefko RAT, Ursa Trojaners und einer Reihe aktiv verbreiteter Ransomware-Stämme zu unterstützen. Der Saefko RAT ist ein relativ frischer Remote-Access-Trojaner, der in .NET geschrieben und Mitte 2019 erstmals gesichtet wurde. Der Saefko […]
Heute ist Samstag, was bedeutet, dass es Zeit für unser nächstes Regel-Digestist, in dem wir Ihnen interessante Inhalte zur Malwarenerkennung vorstellen, die in dieser Woche veröffentlicht wurden. Und ja, wir legen erneut besonderen Wert auf die Regeln, die Teilnehmer des Threat-Bounty-Programms veröffentlicht haben. Wir beginnen mit der Regel, die von Ariel Millahuelveröffentlicht wurde und Sicherheitssystemen […]
Diese Woche hat unser Regel-Digest mehr Inhalte als gewöhnlich. Es sammelt Regeln zur Erkennung aktueller Angriffe von staatlich gesponserten Akteuren, Malware-Kampagnen von Cyberkriminellen und der Missbrauch von Windows-Telemetrie. Mustang Panda ist die in China ansässige Bedrohungsgruppe, die die Fähigkeit gezeigt hat, schnell neue Werkzeuge und Taktiken in ihren Operationen zu assimilieren. Diese APT-Gruppe zielt […]
Hallo zusammen, wir sind zurück mit fünf neuen Regeln, die diese Woche von Teilnehmern des Threat Bounty Programeingereicht wurden. Sie können unsere vorherigen Zusammenfassungen hiernachlesen, und wenn Sie Fragen haben, dann willkommen im Chat. Die Pykspa wurmähnliche Malware kann sich selbst installieren, um persistenz zu gewährleisten, eingehende Ports für zusätzliche Befehle abhören und weitere bösartige […]
Wir freuen uns, Ihnen den neuesten Rule Digest zu präsentieren, der sich im Gegensatz zu dem vorherigen Digestnur aus Regeln besteht, die vom SOC Prime Team entwickelt wurden. Dies ist eine Art thematische Auswahl, da alle diese Regeln helfen, bösartige Aktivitäten über die Befehlszeile durch die Analyse von Sysmon-Logs zu finden. Aber bevor wir direkt […]
Diese Woche in unserem Digest gibt es Regeln, die ausschließlich von Teilnehmern des Threat Bounty Program. Der Bedrohungsakteur hinter der jüngsten Ursnif-Variante führt möglicherweise gezielte Cyberkriminalitätsoperationen durch, die noch andauern. Im Herzen dieser Kampagnen steht eine Variante des Ursnif-Trojaners, die als Downloader und Aufklärungstool umfunktioniert wurde, um die speziellen Bedürfnisse des Akteurs zu erfüllen. Die […]
Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debütieren mit CVE-2020-0932: Eine Remote-Code-Ausführungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszuführen. Die Standardkonfiguration von […]