Iniziamo la settimana con una nuova regola di Emir Erdogan – HawkEye Multiple Detection (Campagna di Phishing a Tema Covid19). Questo malware è noto anche come Predator Pain e ruba una varietĂ di informazioni sensibili dal sistema infetto, tra cui informazioni sul portafoglio bitcoin e credenziali di browser e client di posta. Lo stealer è […]
Digest delle Regole: RCE, CVE, OilRig e altro
Questo digest include regole sia dai membri del Programma Threat Bounty che dal SOC Prime Team. Iniziamo con le regole di Arunkumar Krishna che debutterĂ nel nostro Rule Digest con CVE-2020-0932: Un errore di esecuzione di codice remoto in Microsoft SharePoint. CVE-2020-0932 è stata corretta a aprile, permette agli utenti autenticati di eseguire codice arbitrario […]
Regola della Settimana: Rilevamento del Ransomware Nefilim/Nephilim
Questa settimana vogliamo evidenziare la regola Sigma della comunitĂ creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra […]
Contenuto di Threat Hunting: Campagne Remcos RAT COVID19
Remcos RAT è stato individuato per la prima volta nel 2016. Ora si presenta come uno strumento legittimo di accesso remoto, ma è stato utilizzato in numerose campagne globali di hacking. Su vari siti e forum, i cybercriminali pubblicizzano, vendono e offrono la versione crackata di questo malware. Dalla fine di febbraio, i ricercatori di […]
Contenuto di Rilevamento: Trojan Floxif
Floxif Trojan è principalmente noto per essere utilizzato dal gruppo Winnti, che lo ha distribuito con CCleaner infettato, scaricato dagli utenti dal sito ufficiale. L’attacco si è verificato a settembre 2017, i responsabili sarebbero riusciti ad accedere all’ambiente di sviluppo di CCleaner. Floxif Trojan è stato utilizzato con Nyetya Trojan per raccogliere informazioni sui sistemi […]
Mappatura dei Campi Personalizzati
Questo post sul blog descrive la funzionalitĂ di mappatura dello schema dei dati personalizzato disponibile su SOC Prime Threat Detection Marketplace per i piani di abbonamento Premium. La mappatura dello schema dei dati personalizzato consente agli utenti di costruire una configurazione di mappatura personalizzata per la maggior parte delle fonti di log e delle piattaforme […]
Sintesi delle Regole: Sicurezza dei Server Web e Rilevamento di Trojan
Continuiamo a richiamare la vostra attenzione su regole le cui capacitĂ vanno oltre i piĂą comuni contenuti di rilevamento che analizzano i log di Sysmon. Oggi nel nostro digest ci sono due regole per rilevare attacchi ai Web Server, una continuazione di una serie di regole (1, 2) per scoprire tracce di attacchi del gruppo […]
Regola IOC: Trojan Bancario Grandoreiro
Un articolo pubblicato di recente “SIGMA vs Indicatori di Compromissione” di Adam Swan, il nostro Ingegnere Senior di Threat Hunting, dimostra i benefici delle regole Sigma per la caccia alle minacce rispetto ai contenuti basati su IOC. Anche se non possiamo trascurare le regole Sigma IOC, poichĂ© possono aiutare a identificare un fatto di compromissione, inoltre, […]
SIGMA vs Indicatori di Compromissione
Scopo Lo scopo di questo articolo è di evidenziare i vantaggi dell’utilizzo di rilevamenti basati su SIGMA rispetto a quelli basati su IOC. Introduzione Indicatori di Compromissione (IOC) – IP, domini, hash, nomi di file, ecc, come riportati dai ricercatori di sicurezza, vengono interrogati contro i sistemi e i SIEM per individuare intrusioni. Questi indicatori […]
Contenuto di Rilevamento: Attacco Relazionato al COVID-19 presso Fornitori Medici
Nuova regola Sigma di Osman Demir aiuta a rilevare attacchi di phishing correlati al COVID-19 mirati ai fornitori medici. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ La campagna è diventata nota alla fine della scorsa settimana e i ricercatori credono che sia associata a truffatori 419 che sfruttano la pandemia di COVID-19 per attacchi Business Email Compromise. Gli avversari inviano email […]