Gli avversari possono mascherare eseguibili dannosi come immagini, documenti o archivi, sostituendo le icone dei file e aggiungendo false estensioni ai nomi dei file. Tali file “artefatti” sono spesso utilizzati come allegati in email di phishing, ed è un modo abbastanza efficace per infettare i sistemi Windows a causa dell’opzione “Nascondi le estensioni per i […]
Contenuto di Threat Hunting: Scoprire il Backdoor Bladabindi
La backdoor Bladabindi è conosciuta almeno dal 2013, i suoi autori monitorano le tendenze della cybersecurity e migliorano la backdoor per evitarne il rilevamento: la ricompilano, aggiornano e rincorporano, per cui il contenuto di rilevamento basato su IOCs è quasi inutile. Nel 2018, la backdoor Bladabindi è diventata fileless ed è stata utilizzata come payload […]
Splendido aggiornamento SOC Prime TDM di aprile
Con questa release, abbiamo fatto un ottimo lavoro e oggi siamo lieti di presentare le nostre nuove e scintillanti funzionalità e miglioramenti al SOC Prime Threat Detection Marketplace (TDM). Scopri cosa c’è di nuovo.Nuove PiattaformeL’innovazione più desiderata è il supporto di un paio di piattaforme popolari.CrowdStrikeOra puoi cercare le minacce utilizzando le regole TDM nell’ambiente […]
Regola Sigma: Campagna Malware Asnarok su Firewall Sophos
Un aggiornamento di sicurezza di emergenza per Sophos XG Firewall è stato rilasciato questo sabato. L’aggiornamento corregge una vulnerabilità di esecuzione remota di codice di iniezione SQL zero-day che viene attivamente sfruttata in natura. Permette ai criminali informatici di compromettere i firewall Sophos tramite la loro interfaccia di gestione e distribuire il malware Asnarok. Il […]
Contenuto di Rilevamento: Identificare l’Attività del Trojan Ursnif
La regola esclusiva ‘Process Injection by Ursnif (Dreambot Malware)’ di Emir Erdogan è rilasciata su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ Il Trojan bancario Ursnif è stato utilizzato dagli avversari in varie modifiche per circa 13 anni, guadagnando costantemente nuove funzionalità e acquisendo nuovi trucchi per evitare le soluzioni di sicurezza. Il suo codice sorgente è stato […]
Contenuti per la Caccia alle Minacce per Individuare Tracce di Buer Loader
Una nuova regola della comunità di Ariel Millahuel che consente il rilevamento di Buer loader è disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer è un loader modulare che è stato individuato per la prima volta alla fine dell’estate scorsa e da allora questo malware è stato attivamente promosso nei marketplace underground. I ricercatori di Proofpoint […]
Intervista con lo sviluppatore: Den Iuzvyk
SOC Prime presenta un’altra intervista con un partecipante del programma SOC Prime Threat Bounty Developer Program (https://my.socprime.com/en/tdm-developers). Vogliamo presentarvi Den Iuzvyk che ha pubblicato oltre 60 regole comunitarie di altissima qualità e valore di rilevamento durante i sei mesi di partecipazione al Threat Bounty Program.Leggi altre interviste con sviluppatori di contenuti sul nostro blog: https://socprime.com/en/tag/interview/ […]
Digest delle Regole: Nuovi Contenuti per Rilevare Trojan e Ransomware
SOC Prime porta alla tua attenzione un piccolo riassunto delle ultime regole della community sviluppate dai partecipanti al programma Threat Bounty (https://my.socprime.com/en/tdm-developers). Il riassunto include 5 regole che aiutano a rilevare Trojan e Ransomware Hidden Tear. In futuro, continueremo a pubblicare tali selezioni di contenuti per rilevare specifici attori di minaccia o exploit popolari. […]
Contenuto di rilevamento che individua i tentativi di sottrarre l’AccessKey per la sessione corrente in Azure
La regola della comunità ‘The Suspicious Command Line Contains Azure TokenCache.dat as Argument’ del team SOC Prime è disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ Il file TokenCache.dat contiene l’AccessKey per la sessione corrente ed è memorizzato come un file JSON in chiaro. Qualsiasi manipolazione con questo file tramite la riga di comando può indicare un tentativo […]
Integrazione di SOC Prime con Microsoft Azure Sentinel, Nuove Funzioni
Tutto il team di SOC Prime sta attualmente lavorando da remoto (speriamo lo facciate anche voi) ma tali condizioni non hanno influenzato la nostra efficacia e lo sforzo nel migliorare piattaforma Threat Detection Marketplace (TDM). In questo blog siamo entusiasti di annunciare le 4 nuove funzionalità TDM di SOC Prime che arrivano grazie alla nostra […]