Aujourd’hui, « Chargement DLL évasif possible / Contournement AWL (via cmdline) » règle publiée par l’équipe SOC Prime est tombée dans notre colonne « Règle de la Semaine« : https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Comme vous le savez, le contrôle d’application (AWL) est une approche proactive qui permet uniquement l’exécution des programmes pré-approuvés et spécifiés. Tout autre programme non répertorié est bloqué par […]
Contenu de Chasse aux Menaces : CertReq.exe Lolbin
Les binaires Living off the Land (Lolbins) sont des binaires légitimes que les adversaires avancés détournent souvent pour effectuer des actions au-delà de leur objectif initial. Les cybercriminels les utilisent activement pour télécharger des malwares, assurer la persistance, l’exfiltration de données, le mouvement latéral, et plus encore. Hier seulement, nous avons écrit sur une règle […]
Contenu de Détection : Ransomware WastedLocker
Le nouveau ransomware WastedLocker a été repéré pour la première fois en mai 2020. Il a été développé par le groupe de grande envergure Evil Corp, qui utilisait auparavant le cheval de Troie Dridex pour déployer le ransomware BitPaymer dans des attaques ciblant des organisations gouvernementales et des entreprises aux États-Unis et en Europe. L’année […]
Contenu de Chasse aux Menaces : Détection de DropboxAES RAT
Aujourd’hui, nous voulons vous parler du cheval de Troie DropboxAES utilisé par le groupe APT31 dans des campagnes de cyberespionnage et également vous fournir un lien vers la règle Sigma de la communauté pour détecter ce malware. En général, DropboxAES ne se distingue pas des autres chevaux de Troie d’accès à distance. C’est un outil […]
Vulnérabilités CVE-2020-5903 dans BIG-IP de F5 permettent un compromis total du système
La semaine dernière, F5 Networks, l’un des plus grands fournisseurs mondiaux de produits de mise en réseau de la livraison d’applications, a publié un avis de sécurité pour avertir ses clients d’une vulnérabilité dangereuse que les cybercriminels pourraient commencer à exploiter dans un proche avenir si elle n’était pas déjà exploitée dans la nature. La […]
Digest de Règles : Chevaux de Troie et Ransomware
Dans le digest d’aujourd’hui, nous souhaitons souligner le contenu fourni par les membres du Threat Bounty Program qui aidera les solutions de sécurité à détecter Saefko RAT, le cheval de Troie Ursa, et une palette de souches de ransomware en pleine propagation. Le Saefko RAT est un cheval de Troie d’accès à distance relativement récent […]
Règle de la Semaine : Ransomware Thanos
Aujourd’hui, dans la section Règle de la semaine, nous suggérons de prêter attention à la règle publiée par Emir Erdogan. La nouvelle règle aide à détecter le ransomware Thanos, qui a utilisé la tactique RIPlace pour contourner les solutions anti-ransomware : https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Le ransomware Thanos est apparu pour la première fois à la fin de […]
Contenu de Détection : Comportement de Ransom X
Une autre famille de ransomwares est apparue ce printemps et est activement utilisée dans des attaques ciblées contre des entreprises et des agences gouvernementales. À la mi-mai, des cybercriminels ont attaqué le réseau du ministère des Transports du Texas, mais l’accès non autorisé a été découvert, et par conséquent, seule une partie des systèmes a […]
Contenu de Chasse aux Menaces : Détection de Taurus Stealer
Le malware voleur d’informations Taurus est un outil relativement nouveau créé par l’équipe Predator The Thief qui le promeut sur les forums de hackers. Le voleur d’informations peut dérober des données sensibles depuis les navigateurs, les portefeuilles de cryptomonnaies, FTP, les clients email, et diverses applications. Le malware est très évasif et inclut des techniques […]
Contenu de Détection : Comportement du Malware PsiXBot
Alors que Google et Mozilla généralisent l’utilisation du protocole DNS sur HTTPS, de plus en plus d’auteurs de malwares saisissent cette parfaite opportunité pour masquer le trafic malveillant. Les versions récemment découvertes de PsiXBot exploitent le service DoH de Google pour récupérer les IPs de l’infrastructure de commande et de contrôle. Le malware est apparu […]