Julio resultó ser fructífero para las vulnerabilidades críticas divulgadas: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), y CVE-2020-1350 (también conocida como SIGRed, la vulnerabilidad en el servidor DNS de Microsoft Windows). La semana pasada, los colaboradores del Programa de Recompensas de Amenazas […]
Contenido de Detección: Troyano Hancitor
El post de hoy trata sobre nuevas versiones del troyano Hancitor y un par de reglas publicadas por Programa de Recompensas por Amenazas participantes que permiten a las soluciones de seguridad detectarlas. Troyano Hancitor (Técnica de Evasión) regla comunitaria por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 infección Hancitor con Ursnif regla exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Este malware […]
Resumen de Reglas: CobaltStrike, APT10 y APT41
Nos complace presentarle el Resumen de Reglas, que consiste en reglas desarrolladas únicamente por el equipo de SOC Prime. Esta es una especie de selección temática ya que todas estas reglas ayudan a encontrar actividad maliciosa de grupos APT vinculados al gobierno chino y la herramienta CobaltStrike, frecuentemente utilizada por estos grupos en campañas de […]
Contenido de Detección: Comportamiento de GoldenHelper
Esta semana no destacaremos ninguna regla en la sección «Regla de la Semana», porque las reglas más candentes ya fueron publicadas en el digest especial dedicado a las reglas que detectan la explotación de una vulnerabilidad crítica en los servidores DNS de Windows, CVE-2020-1350 (también conocido como SIGRed). La publicación de hoy está dedicada a […]
Detección de la Explotación de CVE-2020-1350 (SIGRed) con Reglas de Caza de Amenazas
Hoy presentamos un resumen especial de contenido que ayuda a detectar la explotación de una vulnerabilidad crítica en los servidores DNS de Windows. La vulnerabilidad se conoció hace solo dos días, pero desde entonces, tanto el equipo de SOC Prime (representado por Nate Guagenty) como los participantes del Programa Threat Bounty han publicado más de […]
Panel de Control de la Empresa: Perspectivas sobre la Actividad de su Mercado de Detección de Amenazas
SOC Prime Threat Detection Marketplace (SOC Prime TDM) ha sido creado como una plataforma de contenido SaaS que ayuda a las compañías a avanzar en sus análisis de seguridad. Por lo tanto, potenciar las capacidades analíticas y proporcionar estadísticas en tiempo real es una de las características clave que en SOC Prime consideramos de valor […]
Contenido de Caza de Amenazas: Comportamiento de SamoRAT
Hoy en la sección de Contenido de Caza de Amenazas, queremos prestar atención a la regla comunitaria lanzada en el Mercado de Detección de Amenazas por Ariel Millahuel que detecta muestras frescas del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Este troyano de acceso remoto apareció en los radares de investigadores recientemente, las primeras muestras de SamoRAT se descubrieron […]
Contenido de Detección: Troyano Phorpiex
En uno de nuestros contenidos de búsqueda de amenazas artículos del blog, ya observamos una regla para detectar Avaddon ransomware, una nueva variante de Ransomware-como-un-Servicio que fue detectada por primera vez a principios de junio. Uno de los distribuidores más activos del ransomware Avaddon es el botnet Phorpiex, que recientemente se recuperó de las pérdidas […]
Resumen de Reglas: Malware Valak y HanaLoader, Abuso de MSBuild, y Más
Una vez más, nos complace presentar nuestro Resumen de Reglas, que esta vez muestra el contenido de detección no solo de los participantes del Programa de Recompensas de Amenazas, sino también del Equipo SOC Prime. Hoy les contaremos un poco sobre el malware Valak y HanaLoader, la detección de volcados de datos y abuso de […]
Regla de la Semana: Carga Evasiva de DLL / Evasión de AWL
Hoy, «Carga de DLL evasiva posible / Bypass de AWL (mediante cmdline)» lanzada por el equipo de SOC Prime cayó en nuestra columna «Regla de la Semana«: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Como saben, la lista blanca de aplicaciones (AWL) es un enfoque proactivo que permite ejecutar solo los programas preaprobados y especificados. Cualquier otro programa que no esté […]