Estamos siguiendo con las entrevistas a los miembros del Programa de Recompensas por Amenazas (https://my.socprime.com/en/tdm-developers), y hoy queremos presentarles a Emir Erdogan. Emir ha estado participando en el programa desde septiembre de 2019, tiene más de 110 reglas Sigma publicadas a su nombre, pero Emir también publica reglas YARA para detectar amenazas reales. Sus reglas […]
Contenido de Búsqueda de Amenazas: Detección Múltiple de HawkEye
Comenzamos la semana con una nueva regla de Emir Erdogan – HawkEye Multiple Detection (Campaña de Phishing con temática de Covid19). Este malware también es conocido como Predator Pain, roba una variedad de información sensible del sistema infectado, incluida información sobre billeteras de bitcoin y credenciales para navegadores y clientes de correo. El ladrón es […]
Resumen de Reglas: RCE, CVE, OilRig y más
Este resumen incluye reglas tanto de los miembros del Programa de Recompensa de Amenazas como del equipo de SOC Prime. Comencemos con reglas de Arunkumar Krishna que debutarán en nuestro Resumen de Reglas con CVE-2020-0932: Un Error de Ejecución de Código Remoto en Microsoft SharePoint. CVE-2020-0932 fue parcheado en abril, permite que usuarios autenticados ejecuten […]
Regla de la Semana: Detección de Ransomware Nefilim/Nephilim
Esta semana queremos destacar la regla Sigma de la comunidad por Emir Erdogan que ayuda a detectar el ransomware Nefilim/Nephilim utilizado en ataques destructivos. Esta familia de ransomware fue descubierta por primera vez hace dos meses, y su código se basa en el ransomware NEMTY que surgió el verano pasado como un programa de afiliados […]
Contenido de Caza de Amenazas: Campañas de COVID19 de Remcos RAT
Remcos RAT fue detectado por primera vez en 2016. Ahora pretende ser una herramienta legítima de acceso remoto, pero fue utilizada en múltiples campañas globales de hacking. En varios sitios y foros, los ciberdelincuentes anuncian, venden y ofrecen la versión crackeada de este malware. Desde el final de febrero, los investigadores de seguridad han descubierto […]
Contenido de Detección: Troyano Floxif
El troyano Floxif es conocido principalmente por ser utilizado por el grupo Winnti, lo distribuyeron con el CCleaner infectado, que fue descargado por usuarios desde el sitio oficial. El ataque ocurrió en septiembre de 2017, supuestamente los atacantes obtuvieron acceso al entorno de construcción de CCleaner. El troyano Floxif se utilizó junto con el troyano […]
Mapeo de Campos Personalizados
Esta publicación de blog describe la función de mapeo de esquemas de datos personalizados que está disponible en el SOC Prime Threat Detection Marketplace para planes de Suscripción Premium. El mapeo de esquemas de datos personalizados permite a los usuarios construir una configuración de mapeo personalizada para la mayoría de fuentes de registro y plataformas […]
Resumen de Reglas: Seguridad de Servidores Web y Detección de Troyanos
Continuamos llamando su atención sobre las reglas cuyas capacidades van más allá del contenido de detección más común que analiza los registros de Sysmon. Hoy en nuestro resumen hay dos reglas para detectar ataques a Servidores Web, una continuación de una serie de reglas (1, 2) para descubrir rastros de ataques del grupo de hackers […]
Regla IOC: Troyano Bancario Grandoreiro
Un artículo recientemente publicado «SIGMA vs Indicadores de Compromiso» por Adam Swan, nuestro Ingeniero Senior en Caza de Amenazas, demuestra los beneficios de las reglas Sigma para caza de amenazas sobre el contenido basado en IOCs. Aunque no podemos descartar las reglas Sigma de IOC, ya que pueden ayudar a identificar un compromiso, además, no todos […]
SIGMA vs Indicadores de Compromiso
Propósito El propósito de esta publicación es destacar los beneficios de usar SIGMA en lugar de detecciones basadas en IOC. Introducción Indicadores de Compromiso (IOCs) – IPs, dominios, hashes, nombres de archivos, etc., como lo informan los investigadores de seguridad, se consultan contra sistemas y SIEMs para encontrar intrusiones. Estos indicadores funcionan contra ataques conocidos […]