Encore une fois, nous dérogeons à notre calendrier de publication habituel en raison de l’émergence d’un exploit pour la vulnérabilité critique CVE-2020-3452 dans Cisco ASA & Cisco Firepower, ainsi que de l’apparition de règles pour détecter l’exploitation de cette vulnérabilité. CVE-2020-3452 – un autre casse-tête en juillet CVE-2020-3452 a été découvert à la fin de […]
Contenu de Détection : Formbook Déployé via un Faux PDF (Comportement Sysmon)
L’épidémie de Covid19 a révélé un certain nombre de failles dans la cybersécurité. Nous faisons de notre mieux pour vous tenir au courant des dernières tendances lors de nos discussions hebdomadaires, webinaires, et résumés de contenu pertinents. Cependant, la curiosité humaine dans le flot d’informations peut être un point faible. FormBook, l’infostealer connu depuis 2016, […]
Contenu de Chasse aux Menaces : Plantage de DNS.exe (Détection possible de CVE-2020-1350)
Juillet s’est avéré fructueux pour les vulnérabilités critiques divulguées : CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), et CVE-2020-1350 (alias SIGRed, la vulnérabilité dans Microsoft Windows DNS Server). La semaine dernière, les contributeurs du Threat Bounty Program et l’équipe de SOC Prime ont […]
Contenu de Détection : Cheval de Troie Hancitor
Le message d’aujourd’hui porte sur les nouvelles versions du cheval de Troie Hancitor et quelques règles publiées par Threat Bounty Program participants qui permettent aux solutions de sécurité de les détecter. Cheval de Troie Hancitor (Technique d’évasion) règle communautaire par Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infection Hancitor avec Ursnif règle exclusive par Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Ce malware […]
Digest des Règles : CobaltStrike, APT10 et APT41
Nous sommes ravis de vous présenter le Digest des Règles, qui se compose uniquement de règles développées par l’équipe SOC Prime. C’est une sorte de sélection thématique puisque toutes ces règles permettent de détecter les activités malveillantes des groupes APT liés au gouvernement chinois et l’outil CobaltStrike souvent utilisé par ces groupes dans les campagnes […]
Contenu de Détection : Comportement de GoldenHelper
Cette semaine, nous ne mettrons en avant aucune règle dans la section « Règle de la semaine », car les règles les plus intéressantes ont déjà été publiées dans le digest spécial d’hier, dédié aux règles détectant l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows, CVE-2020-1350 (alias SIGRed). La publication d’aujourd’hui est dédiée à […]
CVE-2020-1350 (SIGRed) Détection d’Exploitation avec des Règles de Chasse aux Menaces
Aujourd’hui, nous introduisons un résumé spécial de contenu qui aide à détecter l’exploitation d’une vulnérabilité critique dans les serveurs DNS Windows. La vulnérabilité est connue depuis seulement deux jours, mais depuis lors, à la fois l’équipe SOC Prime (représentée par Nate Guagenty) et les participants du programme Threat Bounty ont publié plus de 10 règles […]
Tableau de Bord de l’Entreprise : Aperçus de Votre Activité sur le Marché de la Détection des Menaces
SOC Prime Threat Detection Marketplace (SOC Prime TDM) a été créé comme une plateforme de contenu SaaS qui aide les entreprises à améliorer leurs analyses de sécurité. Ainsi, booster les capacités analytiques et fournir des statistiques en temps réel est l’une des fonctionnalités principales que nous, chez SOC Prime, considérons d’une importance primordiale. La visualisation […]
Contenu de Threat Hunting : Comportement de SamoRAT
Aujourd’hui, dans la section Contenu de Threat Hunting, nous souhaitons porter attention à la règle communautaire publiée dans le Threat Detection Marketplace par Ariel Millahuel qui détecte de nouveaux échantillons de malware SamoRAT : https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Ce cheval de Troie d’accès à distance est apparu sur les radars des chercheurs récemment, les premiers échantillons de SamoRAT […]
Contenu de Détection : Cheval de Troie Phorpiex
Dans un de nos articles de blog sur la Chasse aux Menaces , nous avons déjà observé une règle pour détecter le ransomware Avaddon, une nouvelle variante de Ransomware-as-a-Service qui a été repérée pour la première fois début juin. L’un des distributeurs les plus actifs du ransomware Avaddon est le botnet Phorpiex, qui s’est récemment […]