Esta semana, as regras para detectar malware e atividade APT, tanto da nossa equipe quanto dos participantes do Programa de Recompensas de Ameaças ganharam destaque. Nos resumos, tentamos chamar sua atenção para regras interessantes publicadas na última semana. APT StrongPity por Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 APT StrongPity (também conhecido como Promethium) utiliza instaladores comprometidos de […]
Regra da Semana: Possível Arquivo Malicioso com Dupla Extensão
Os adversários podem disfarçar executáveis maliciosos como imagens, documentos ou arquivos, substituindo ícones de arquivos e adicionando extensões falsas aos nomes dos arquivos. Tais arquivos “elaborados” são frequentemente usados como anexos em e-mails de phishing, e este é um método bastante eficaz para infectar sistemas Windows devido à opção “Ocultar extensões de tipos de arquivos […]
Conteúdo de Threat Hunting: Descubra o Backdoor Bladabindi
O backdoor Bladabindi é conhecido desde pelo menos 2013. Seus autores monitoram as tendências de cibersegurança e melhoram o backdoor para evitar sua detecção: eles recompilam, renovam e rehash, tornando o conteúdo de detecção baseado em IOCs quase inútil. Em 2018, o backdoor Bladabindi tornou-se sem arquivos e foi utilizado como uma carga secundária entregue […]
Atualização Esplêndida de TDM da SOC Prime de Abril
Com este lançamento, fizemos um ótimo trabalho e hoje estamos felizes em apresentar nossos novos recursos e melhorias brilhantes para o SOC Prime Threat Detection Marketplace (TDM). Confira as novidades.Novas PlataformasA inovação mais desejada é o suporte a algumas plataformas populares.CrowdStrikeAgora você pode buscar ameaças usando as regras do TDM no ambiente CrowdStrike. O botão […]
Regra Sigma: Campanha de Malware Asnarok no Firewall Sophos
Uma atualização de segurança de emergência para o Sophos XG Firewall foi lançada neste sábado. A atualização corrige uma vulnerabilidade de execução remota de código por injeção SQL zero-day que está sendo explorada ativamente na natureza. Ela permite que cibercriminosos comprometam firewalls da Sophos através de sua interface de gerenciamento e implantem o malware Asnarok. […]
Conteúdo de Detecção: Encontrando Atividade do Trojan Ursnif
A regra exclusiva ‘Injeção de Processo pelo Ursnif (Malware Dreambot)’ de Emir Erdogan é lançada no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ O trojan bancário Ursnif tem sido usado por adversários em várias modificações por cerca de 13 anos, constantemente ganhando novos recursos e adquirindo novos truques para evitar soluções de segurança. Seu código-fonte foi vazado em […]
Conteúdo de Caça a Ameaças para Identificar Traços do Buer Loader
Nova regra comunitária por Ariel Millahuel que permite a detecção do Buer loader está disponível no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer é um carregador modular que foi detectado pela primeira vez no final do último verão e desde então esse malware tem sido ativamente promovido nos mercados subterrâneos. Pesquisadores da Proofpoint monitoraram múltiplas campanhas espalhando […]
Entrevista com o Desenvolvedor: Den Iuzvyk
A SOC Prime apresenta outra entrevista com um participante do Programa de Desenvolvedores de Recompensa por Ameaças da SOC Prime (https://my.socprime.com/en/tdm-developers). Queremos apresentar a você Den Iuzvyk que publicou 60+ regras comunitárias de alta qualidade e valor de detecção durante seis meses de sua participação no Programa de Recompensa por Ameaças.Leia mais entrevistas com desenvolvedores […]
Digest de Regras: Conteúdo Novo para Detectar Cavalos de Troia e Ransomware
SOC Prime traz à sua atenção um pequeno resumo das últimas regras da comunidade desenvolvidas pelos participantes do Programa Threat Bounty (https://my.socprime.com/en/tdm-developers). O resumo inclui 5 regras que ajudam a detectar Trojans e Ransomware Hidden Tear. No futuro, continuaremos a publicar tais seleções de conteúdo para detectar atores de ameaça específicos ou exploits populares. […]
Conteúdo de detecção que revela tentativas de roubo de AccessKey para a sessão atual no Azure
A regra comunitária ‘A Linha de Comando Suspeita Contém TokenCache.dat do Azure como Argumento’ pela equipe SOC Prime está disponível em Marketplace de Detecção de Ameaças: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ O arquivo TokenCache.dat contém o AccessKey para a sessão atual e é armazenado como um arquivo JSON em texto sem formatação. Qualquer manipulação com este arquivo via linha de […]