Seit Beginn der Pandemie sind Videokonferenzlösungen zu einem integralen Bestandteil des Arbeitsablaufs in vielen Organisationen geworden. Zuerst übernahm Zoom die Führung, und viele Cyberkriminelle begannen sofort damit, es in Phishing-Kampagnen zu nutzen, indem sie sich den Umstand zunutze machten, dass eine große Anzahl von Mitarbeitern diese Technologie zuvor noch nicht verwendet hatte. Bald entdeckten Sicherheitsforscher […]
Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die […]
Erneut weichen wir vom üblichen Veröffentlichungszyklus ab, da ein Exploit für die kritische Schwachstelle CVE-2020-3452 in Cisco ASA & Cisco Firepower aufgetaucht ist, ebenso wie Regeln zur Erkennung der Ausnutzung dieser Schwachstelle. CVE-2020-3452 – noch ein Kopfschmerz im Juli CVE-2020-3452 wurde Ende letzten Jahres entdeckt, aber erst letzte Woche wurde sie veröffentlicht, als Cisco ein […]
Heute hat die „Mögliche ausweichende DLL-Ladung / AWL-Umgehung (über cmdline)„-Regel des SOC Prime-Teams unsere Kategorie „Regel der Woche„: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Wie Sie wissen, ist die Anwendung von Whitelisting (AWL) ein proaktiver Ansatz, bei dem nur vorab genehmigte und spezifizierte Programme ausgeführt werden dürfen. Jedes andere nicht auf der Whitelist stehende Programm wird standardmäßig blockiert, sodass AWL […]
Heute in der Sektion Regel der Woche empfehlen wir, die Regel zu beachten, die von Emir Erdoganveröffentlicht wurde. Die neue Regel hilft, Thanos-Ransomware zu erkennen, die die RIPlace-Taktik verwendet, um Anti-Ransomware-Lösungen zu umgehen: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos-Ransomware erschien erstmals Ende letzten Jahres, und ihre Autoren bewarben sie in Untergrundforen und geschlossenen Kanälen. Sie wird als Ransomware-as-a-Service vertrieben, […]
Diesen Monat haben Forscher entdeckt einen mehrstufigen Angriff durch eine nicht näher definierte APT-Gruppe. Während dieses Angriffs nutzten die Angreifer die Malleable C2-Funktion in Cobalt Strike, um C&C-Kommunikationen durchzuführen und die endgültige Nutzlast zu liefern. Forscher stellen fest, dass Angreifer fortschrittliche Umgehungstechniken verwenden. Sie beobachteten eine absichtliche Verzögerung bei der Ausführung der Nutzlast aus dem […]
Und erneut möchten wir den Inhalt zur Erkennung von QBot-Malware im Abschnitt Regel der Woche hervorheben. Vor etwa einem Monat, wurde eine einfache aber effektive Regel von Emir Erdogan bereits in diesem Abschnittveröffentlicht. Aber der zwölf Jahre alte Trojaner entwickelt sich weiter, und vor nur ein paar Tagen wurden frische Samples dieser Malware entdeckt, basierend […]
In der Regel der Woche Rubrik präsentieren wir Ihnen die Befehlsausführung auf Azure VM (via azureactivity) Regel vom SOC Prime Team: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   Gegner können die Funktionalität von Azure VM ausnutzen, um einen Einstiegspunkt in einer Umgebung zu etablieren, was zur Aufrechterhaltung des Zugriffs und zur Privilegienerweiterung genutzt werden könnte. Sie können die Run Command-Funktion nutzen, […]
Der QakBot-Banking-Trojaner (auch bekannt als QBot) wird seit über 10 Jahren in Angriffen auf Organisationen eingesetzt, und seine Autoren überwachen kontinuierlich die Bedrohungslandschaft, um neue Funktionen hinzuzufügen oder diese zu entfernen, wenn sie nicht ordnungsgemäß funktionieren. Im Jahr 2017 besaß diese Malware wurmähnliche Fähigkeiten und war in der Lage, Active Directory-Benutzer zu sperren, um Organisationen […]
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]