Aujourd’hui, nous introduisons un résumé spécial de contenu qui aide à détecter l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows. La vulnérabilité est connue depuis seulement deux jours, mais depuis lors, à la fois l’équipe SOC Prime (représentée par Nate Guagenty) et les participants du programme Threat Bounty ont publié plus de 10 règles […]
Tableau de Bord de l’Entreprise : Aperçus de Votre Activité sur le Marché de la Détection des Menaces
SOC Prime Threat Detection Marketplace (SOC Prime TDM) a été créé comme une plateforme de contenu SaaS qui aide les entreprises à améliorer leurs analyses de sécurité. Ainsi, booster les capacités analytiques et fournir des statistiques en temps réel est l’une des fonctionnalités principales que nous, chez SOC Prime, considérons d’une importance primordiale. La visualisation […]
Contenu de Threat Hunting : Comportement de SamoRAT
Aujourd’hui, dans la section Contenu de Threat Hunting, nous souhaitons porter attention à la règle communautaire publiée dans le Threat Detection Marketplace par Ariel Millahuel qui détecte de nouveaux échantillons de malware SamoRAT : https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Ce cheval de Troie d’accès à distance est apparu sur les radars des chercheurs récemment, les premiers échantillons de SamoRAT […]
Contenu de Détection : Cheval de Troie Phorpiex
Dans un de nos articles de blog sur la Chasse aux Menaces , nous avons déjà observé une règle pour détecter le ransomware Avaddon, une nouvelle variante de Ransomware-as-a-Service qui a été repérée pour la première fois début juin. L’un des distributeurs les plus actifs du ransomware Avaddon est le botnet Phorpiex, qui s’est récemment […]
Récapitulatif des Règles : Malwares Valak et HanaLoader, Abus de MSBuild, et Plus
Et encore une fois, nous avons le plaisir de présenter notre Digest des Règles, qui cette fois montre le contenu de détection non seulement des participants au Programme Threat Bounty, mais aussi de l’équipe SOC Prime. Aujourd’hui, nous vous parlerons un peu des malwares Valak et HanaLoader, de la détection de l’extraction de données et […]
Règle de la semaine : Chargement furtif de DLL / Contournement d’AWL
Aujourd’hui, « Chargement DLL évasif possible / Contournement AWL (via cmdline) » règle publiée par l’équipe SOC Prime est tombée dans notre colonne « Règle de la Semaine« : https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Comme vous le savez, le contrôle d’application (AWL) est une approche proactive qui permet uniquement l’exécution des programmes pré-approuvés et spécifiés. Tout autre programme non répertorié est bloqué par […]
Contenu de Chasse aux Menaces : CertReq.exe Lolbin
Les binaires Living off the Land (Lolbins) sont des binaires légitimes que les adversaires avancés détournent souvent pour effectuer des actions au-delà de leur objectif initial. Les cybercriminels les utilisent activement pour télécharger des malwares, assurer la persistance, l’exfiltration de données, le mouvement latéral, et plus encore. Hier seulement, nous avons écrit sur une règle […]
Contenu de Détection : Ransomware WastedLocker
Le nouveau ransomware WastedLocker a été repéré pour la première fois en mai 2020. Il a été développé par le groupe de grande envergure Evil Corp, qui utilisait auparavant le cheval de Troie Dridex pour déployer le ransomware BitPaymer dans des attaques ciblant des organisations gouvernementales et des entreprises aux États-Unis et en Europe. L’année […]
Contenu de Chasse aux Menaces : Détection de DropboxAES RAT
Aujourd’hui, nous voulons vous parler du cheval de Troie DropboxAES utilisé par le groupe APT31 dans des campagnes de cyberespionnage et également vous fournir un lien vers la règle Sigma de la communauté pour détecter ce malware. En général, DropboxAES ne se distingue pas des autres chevaux de Troie d’accès à distance. C’est un outil […]
Vulnérabilités CVE-2020-5903 dans BIG-IP de F5 permettent un compromis total du système
La semaine dernière, F5 Networks, l’un des plus grands fournisseurs mondiaux de produits de mise en réseau de la livraison d’applications, a publié un avis de sécurité pour avertir ses clients d’une vulnérabilité dangereuse que les cybercriminels pourraient commencer à exploiter dans un proche avenir si elle n’était pas déjà exploitée dans la nature. La […]