Juillet s’est avéré fructueux pour les vulnérabilités critiques divulguées : CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), et CVE-2020-1350 (alias SIGRed, la vulnérabilité dans Microsoft Windows DNS Server). La semaine dernière, les contributeurs du Threat Bounty Program et l’équipe de SOC Prime ont […]
Contenu de Détection : Cheval de Troie Hancitor
Le message d’aujourd’hui porte sur les nouvelles versions du cheval de Troie Hancitor et quelques règles publiées par Threat Bounty Program participants qui permettent aux solutions de sécurité de les détecter. Cheval de Troie Hancitor (Technique d’évasion) règle communautaire par Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infection Hancitor avec Ursnif règle exclusive par Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Ce malware […]
Digest des Règles : CobaltStrike, APT10 et APT41
Nous sommes ravis de vous présenter le Digest des Règles, qui se compose uniquement de règles développées par l’équipe SOC Prime. C’est une sorte de sélection thématique puisque toutes ces règles permettent de détecter les activités malveillantes des groupes APT liés au gouvernement chinois et l’outil CobaltStrike souvent utilisé par ces groupes dans les campagnes […]
Contenu de Détection : Comportement de GoldenHelper
Cette semaine, nous ne mettrons en avant aucune règle dans la section « Règle de la semaine », car les règles les plus intéressantes ont déjà été publiées dans le digest spécial d’hier, dédié aux règles détectant l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed). La publication d’aujourd’hui est dédiée à […]
CVE-2020-1350 (SIGRed) Détection d’Exploitation avec des Règles de Chasse aux Menaces
Aujourd’hui, nous introduisons un résumé spécial de contenu qui aide à détecter l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows. La vulnérabilité est connue depuis seulement deux jours, mais depuis lors, à la fois l’équipe SOC Prime (représentée par Nate Guagenty) et les participants du programme Threat Bounty ont publié plus de 10 règles […]
Tableau de Bord de l’Entreprise : Aperçus de Votre Activité sur le Marché de la Détection des Menaces
SOC Prime Threat Detection Marketplace (SOC Prime TDM) a été créé comme une plateforme de contenu SaaS qui aide les entreprises à améliorer leurs analyses de sécurité. Ainsi, booster les capacités analytiques et fournir des statistiques en temps réel est l’une des fonctionnalités principales que nous, chez SOC Prime, considérons d’une importance primordiale. La visualisation […]
Contenu de Threat Hunting : Comportement de SamoRAT
Aujourd’hui, dans la section Contenu de Threat Hunting, nous souhaitons porter attention à la règle communautaire publiée dans le Threat Detection Marketplace par Ariel Millahuel qui détecte de nouveaux échantillons de malware SamoRAT : https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Ce cheval de Troie d’accès à distance est apparu sur les radars des chercheurs récemment, les premiers échantillons de SamoRAT […]
Contenu de Détection : Cheval de Troie Phorpiex
Dans un de nos articles de blog sur la Chasse aux Menaces , nous avons déjà observé une règle pour détecter le ransomware Avaddon, une nouvelle variante de Ransomware-as-a-Service qui a été repérée pour la première fois début juin. L’un des distributeurs les plus actifs du ransomware Avaddon est le botnet Phorpiex, qui s’est récemment […]
Récapitulatif des Règles : Malwares Valak et HanaLoader, Abus de MSBuild, et Plus
Et encore une fois, nous avons le plaisir de présenter notre Digest des Règles, qui cette fois montre le contenu de détection non seulement des participants au Programme Threat Bounty, mais aussi de l’équipe SOC Prime. Aujourd’hui, nous vous parlerons un peu des malwares Valak et HanaLoader, de la détection de l’extraction de données et […]
Règle de la semaine : Chargement furtif de DLL / Contournement d’AWL
Aujourd’hui, « Chargement DLL évasif possible / Contournement AWL (via cmdline) » règle publiée par l’équipe SOC Prime est tombée dans notre colonne « Règle de la Semaine« : https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Comme vous le savez, le contrôle d’application (AWL) est une approche proactive qui permet uniquement l’exécution des programmes pré-approuvés et spécifiés. Tout autre programme non répertorié est bloqué par […]