Dieses Digest enthält Regeln sowohl von Mitgliedern des Threat Bounty Program als auch vom SOC Prime Team. Beginnen wir mit den Regeln von Arunkumar Krishna, die in unserem Regel-Digest debütieren mit CVE-2020-0932: Eine Remote-Code-Ausführungs-Schwachstelle in Microsoft SharePoint. CVE-2020-0932 wurde im April gepatcht und erlaubt authentifizierten Benutzern, beliebigen Code auf einem SharePoint-Server auszuführen. Die Standardkonfiguration von […]
Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, […]
Remcos RAT wurde erstmals 2016 entdeckt. Jetzt gibt es vor, ein legitimes Fernzugriffstool zu sein, aber es wurde in mehreren globalen Hacker-Kampagnen eingesetzt. Auf verschiedenen Websites und Foren werben, verkaufen und bieten Cyberkriminelle die geknackte Version dieser Malware an. Seit dem Ende Februar, haben Sicherheitsforscher mehrere Kampagnen entdeckt, die den Remcos Trojaner verteilen und das […]
Der Floxif-Trojaner ist hauptsächlich dafür bekannt, dass er von der Winnti-Gruppe genutzt wurde. Sie verteilten ihn mit dem infizierten CCleaner, der von Nutzern von der offiziellen Website heruntergeladen wurde. Der Angriff ereignete sich im September 2017. Die Angreifer verschafften sich angeblich Zugang zur Build-Umgebung von CCleaner. Der Floxif-Trojaner wurde zusammen mit dem Nyetya-Trojaner verwendet, um […]
Wir lenken Ihre Aufmerksamkeit weiterhin auf Regeln, deren Fähigkeiten über die üblichen Erkennungsinhalte hinausgehen, die Sysmon-Protokolle analysieren. Heute in unserem Digest gibt es zwei Regeln zur Erkennung von Angriffen auf Webserver, eine Fortsetzung einer Regelreihe (1, 2) zur Entdeckung von Spuren von Angriffen der Outlaw-Hackergruppe, und Erkennungsinhalte, die das GRIFFON-Backdoor und den Qulab-Trojaner aufdecken. Verdächtige […]
Ein kürzlich veröffentlichter Artikel „SIGMA vs Indicators of Compromise“ von Adam Swan, unserem Senior Threat Hunting Engineer, demonstriert die Vorteile von Bedrohungsjagd Sigma-Regeln gegenüber IOC-basiertem Inhalt. Obwohl wir IOC-Sigma-Regeln nicht ignorieren können, da sie helfen können, einen Fakten der Kompromittierung zu identifizieren, ändern nicht alle Gegner schnell ihre Malware, und daher können solche Regeln eine Bedrohung […]
Neue Sigma-Regel von Osman Demir hilft, COVID-19-bezogene Phishing-Angriffe auf medizinische Lieferanten zu erkennen. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ Die Kampagne wurde Ende letzter Woche bekannt und Forscher glauben, dass sie mit 419-Betrügern in Verbindung steht, die die COVID-19-Pandemie ausnutzen, um Business E-Mail Compromise-Angriffe. Gegner senden hochgradig gezielte Phishing-E-Mails mit bösartigen MS Word-Dokumenten, in denen nach verschiedenen Materialien gefragt wird, […]
Diese Woche standen die Regeln zur Erkennung von Malware und APT-Aktivitäten sowohl von unserem Team als auch von den Teilnehmern des SOC Prime Threat Bounty Programms im Rampenlicht. In den Zusammenfassungen versuchen wir, Ihre Aufmerksamkeit auf interessante Regeln zu lenken, die in der letzten Woche veröffentlicht wurden. APT StrongPity von Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 StrongPity […]
Die Bladabindi-Hintertür ist mindestens seit 2013 bekannt. Ihre Autoren überwachen Cybersecurity-Trends und verbessern die Hintertür, um deren Entdeckung zu verhindern: Sie kompilieren, aktualisieren und hashen sie neu, sodass IOCs-basierte Erkennung fast nutzlos ist. Im Jahr 2018 wurde die Bladabindi-Hintertür dateilos und als sekundärer Payload verwendet, der durch die njRAT / Njw0rm-Malware ausgeliefert wurde. Die Hintertür […]
Die exklusive Regel ‚Process Injection by Ursnif (Dreambot Malware)‘ von Emir Erdogan ist im Threat Detection Marketplace veröffentlicht: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ Der Ursnif Banking-Trojaner wurde von Angreifern in verschiedenen Modifikationen seit etwa 13 Jahren genutzt, ständig mit neuen Funktionen ausgestattet und mit neuen Tricks versehen, um Sicherheitslösungen zu umgehen. Sein Quellcode wurde 2014 geleakt, und seitdem steht […]