Luglio si è rivelato fruttuoso per quanto riguarda le vulnerabilitĂ critiche divulgate: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewall), e CVE-2020-1350 (aka SIGRed, la vulnerabilitĂ nel server DNS di Microsoft Windows). La settimana scorsa, i contributori del Threat Bounty Program e il […]
Contenuto di Rilevamento: Trojan Hancitor
Il post di oggi riguarda le nuove versioni del trojan Hancitor e un paio di regole rilasciate dal Programma di ricompensa per minacce partecipanti che consentono alle soluzioni di sicurezza di rilevarli. Trojan Hancitor (Tecnica di Evasione) regola della comunitĂ di Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infezione Hancitor con Ursnif regola esclusiva di Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Questo […]
Sintesi Regole: CobaltStrike, APT10 e APT41
Siamo lieti di presentarvi il consueto Rule Digest, che consiste di regole sviluppate esclusivamente dal SOC Prime Team. Si tratta di una sorta di selezione tematica, poichĂ© tutte queste regole aiutano a individuare attivitĂ malevole di gruppi APT collegati al governo cinese e lo strumento CobaltStrike spesso utilizzato da questi gruppi in campagne di spionaggio […]
Contenuto di Rilevamento: Comportamento di GoldenHelper
Questa settimana non evidenzieremo alcuna regola nella sezione “Regola della Settimana”, perchĂ© le regole piĂą calde sono giĂ state pubblicate nello speciale di ieri digest speciale dedicato alle regole che rilevano lo sfruttamento di una vulnerabilitĂ critica nei server DNS di Windows, CVE-2020-1350 (conosciuta anche come SIGRed). La pubblicazione di oggi è dedicata al rilevamento […]
CVE-2020-1350 (SIGRed) Rilevazione dello Sfruttamento con Regole di Threat Hunting
Oggi introduciamo un digest speciale di contenuti che aiuta a rilevare lo sfruttamento di una vulnerabilitĂ critica nei server DNS di Windows. La vulnerabilità è diventata nota solo due giorni fa, ma da allora, sia il team di SOC Prime (rappresentato da Nate Guagenty) sia i partecipanti al Threat Bounty Program hanno pubblicato oltre 10 […]
Dashboard Aziendale: Approfondimenti sull’AttivitĂ nel Tuo Mercato di Rilevamento delle Minacce
SOC Prime Threat Detection Marketplace (SOC Prime TDM) è stato creato come una piattaforma di contenuti SaaS che aiuta le aziende a migliorare le loro analisi della sicurezza. Pertanto, potenziare le capacitĂ analitiche e fornire statistiche in tempo reale è una delle caratteristiche fondamentali che noi di SOC Prime consideriamo di valore primario. La visualizzazione […]
Contenuto di Threat Hunting: Comportamento di SamoRAT
Oggi nella sezione Contenuti di Threat Hunting vogliamo prestare attenzione alla regola comunitaria rilasciata in Threat Detection Marketplace da Ariel Millahuel che rileva nuovi campioni del malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Questo trojan di accesso remoto è apparso sui radar dei ricercatori recentemente, i primi campioni di SamoRAT sono stati scoperti circa un mese fa. Il trojan […]
Contenuto di Rilevamento: Trojan Phorpiex
In uno dei nostri Contenuti su Threat Hunting post sul blog, abbiamo giĂ osservato una regola per rilevare Avaddon ransomware, una nuova variante di Ransomware-as-a-Service che è stata individuata per la prima volta agli inizi di giugno. Uno dei distributori piĂą attivi di Avaddon ransomware è il botnet Phorpiex, che si è recentemente ripreso dalle […]
Digest delle Regole: Malware Valak e HanaLoader, Abuso di MSBuild e Altro
E ancora una volta, siamo lieti di presentare il nostro Rule Digest, che questa volta mostra il contenuto di rilevamento non solo dei partecipanti al Threat Bounty Program ma anche del SOC Prime Team. Oggi vi parleremo un po’ del malware Valak e HanaLoader, del rilevamento del dump di dati e dell’abuso di MSBuild, e […]
Regola della Settimana: Caricamento DLL Evasivo / Bypass AWL
Oggi, “Possibile Caricamento DLL Evasivo / Bypass AWL (via cmdline)” la regola rilasciata dal team SOC Prime è finita nella nostra colonna “Regola della Settimana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Come sapete, il whitelisting delle applicazioni (AWL) è un approccio proattivo che consente solo l’esecuzione di programmi pre-approvati e specificati. Qualsiasi altro programma non in whitelist è bloccato per […]