Boas notícias a todos! Após um dia, noite e manhã bastante longos estudando as notícias, pesquisando e caçando o ransomware WannaCry, há algumas descobertas a serem compartilhadas. Isso inclui IOCs de Host e Rede, suas análises obtidas com a ajuda de colegas pesquisadores de segurança e praticantes, revisão da infraestrutura C2 e suas interações com […]
Conferência Internacional sobre Segurança Cibernética “Cyber For All”
24.11.2016 SOC Prime, Inc sediou a primeira conferência internacional sobre segurança cibernética “Cyber For All” em Kyiv, Ucrânia. A equipe da SOC Prime e parceiros de negócios fizeram apresentações e vários clientes compartilharam suas histórias de sucesso reais sobre o uso dos produtos da SOC Prime. A conferência foi frequentada principalmente por representantes da comunidade […]
Digest do botnet Mirai: visão geral da ameaça, análises e remediação
Uma citação de um famoso professor “Boas notícias pessoal!” seria o melhor ajuste para os eventos recentes quando a Internet das coisas soltou o inferno no mundo digital inteiro, com o botnet Mirai sendo um de seus famosos asseclas. Antes que se quebrem os detectores de sarcasmo: a situação é de fato tensa, pesquisadores renomados […]
Phishing das contas da DHL: «DHL & PASSWORDS»
Olá a todos! Hoje vamos focar em um novo exemplo de phishing simples, tirado da prática atual, como sempre. Vamos analisar a seguinte carta:
Infiltração de infraestrutura via RTF
Vamos prosseguir para estudar uma fase do ataque chamada “Entrega” da Lockheed Martin Cyber Kill Chain.Muito pode ser dito sobre esta fase, mas hoje vou apenas compartilhar a análise de uma amostra que recebi recentemente para análise. A amostra chamou minha atenção por causa de sua simplicidade de um lado e sua sofisticação de outro. […]
Ataque ao banco de dados do controlador de domínio (NTDS.DIT)
Assim, conforme prometido, iniciamos o processo de análise das etapas separadas da Cyber Kill Chain do ataque descrito anteriormente. Hoje, vamos revisar um dos vetores de ataque na infraestrutura da Empresa, que podemos contar como duas etapas: «Ações sobre Objetivos» e «Reconhecimento». Nossos objetivos são:
DESMANTELANDO O BLACKENERGY, PARTE 3 – TODOS A BORDO!
Abordagem – the act of embarque um inimigo navio as parte of an ataque. In today’s post, I will describe a part of investigation of one cyber security incident that has eventually evolved into a global investigation connected with an attack based on BlackEnergy that has hit a number of industries in Ukraine. As we progressed […]
Caça a ameaças assistida pela marca BlackEnergy
Primeiro, deixe-me agradecer a todos pelos comentários e feedbacks sobre o artigo anterior artigo. Foi bastante emocionante ver como a teoria se sustenta na prática.
DESMANTELANDO BLACKENERGY, PARTE 2 – “A MARCA”
Eu não vou fazer um discurso sobre o que é uma estrutura BlackEnergy, já que muito foi escrito sobre isso e sem a minha participação, no entanto, quero me referir às informações deste revisão em particular:
Desmantelando o KillDisk: reverso do componente destrutivo BlackEnergy
Vamos pular a longa introdução sobre a ameaça BlackEnergy e ir direto ao estudo do componente de malware chamado “ololo.exe”, também conhecido pelo público como KillDisk. KillDisk é um módulo da estrutura BlackEnergy destinado à destruição de dados e à criação de caos/distração durante as operações APT.