Temos o prazer de apresentar a você o regular Digest de Regras, que consiste em regras desenvolvidas exclusivamente pela equipe da SOC Prime. Este é um tipo de seleção temática, uma vez que todas essas regras ajudam a encontrar atividades maliciosas de grupos APT ligados ao governo chinês e à ferramenta CobaltStrike, frequentemente usada por […]
Conteúdo de Detecção: Comportamento do GoldenHelper
Esta semana não destacaremos nenhuma regra na seção “Regra da Semana”, porque as regras mais quentes já foram publicadas no digest especial de ontem dedicado às regras que detectam a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecida como SIGRed). A publicação de hoje é dedicada à detecção do malware […]
Deteção de Exploração CVE-2020-1350 (SIGRed) com Regras de Caça a Ameaças
Hoje introduzimos uma compilação especial de conteúdo que ajuda a detectar a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows. A vulnerabilidade tornou-se conhecida apenas dois dias atrás, mas desde então, tanto a equipe da SOC Prime (representada por Nate Guagenty) quanto os participantes do Threat Bounty Program publicaram mais de 10 regras […]
Painel da Empresa: Insights Sobre Sua Atividade no Mercado de Detecção de Ameaças
SOC Prime Threat Detection Marketplace (SOC Prime TDM) foi criado como uma plataforma de conteúdo SaaS que ajuda as empresas a avançar suas análises de segurança. Portanto, potencializar as capacidades analíticas e fornecer estatísticas em tempo real é uma das características principais que nós da SOC Prime consideramos de valor primordial. A visualização de dados […]
Conteúdo de Caça a Ameaças: Comportamento do SamoRAT
Hoje, na seção de Conteúdo de Caça a Ameaças, queremos prestar atenção à regra da comunidade lançada no Threat Detection Marketplace por Ariel Millahuel que detecta amostras recentes do malware SamoRAT: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 Este trojan de acesso remoto apareceu nos radares de pesquisadores recentemente, as primeiras amostras do SamoRAT foram descobertas há cerca de um mês. […]
Conteúdo de Detecção: Trojan Phorpiex
Em um dos nossos conteúdos de Caça a Ameaças posts de blog, já observamos uma regra para detectar ransomware Avaddon, uma nova variante de Ransomware como Serviço que foi vista pela primeira vez no início de junho. Um dos distribuidores mais ativos do ransomware Avaddon é o botnet Phorpiex, que recentemente se recuperou de perdas […]
Resumo de Regras: Malware Valak e HanaLoader, Abuso do MSBuild e Mais
E novamente, temos o prazer de apresentar o nosso Resumo de Regras, que desta vez mostra o conteúdo de detecção não apenas dos participantes do Programa Threat Bounty, mas também da Equipe SOC Prime. Hoje contaremos um pouco sobre o malware Valak e HanaLoader, detecção de dump de dados e abuso do MSBuild, e sequestro […]
Regra da Semana: Carregamento Evasivo de DLL / Bypass de AWL
Hoje, “Carregamento Evasivo de DLL Possível / Bypass de AWL (via cmdline)” lançada pela equipe do SOC Prime caiu na nossa coluna “Regra da Semana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Como você sabe, a lista branca de aplicativos (AWL) é uma abordagem proativa que permite apenas a execução de programas pré-aprovados e especificados. Qualquer outro programa não listado é […]
Conteúdo de Caça a Ameaças: CertReq.exe Lolbin
Binários Living off the Land (Lolbins) são binários legítimos que adversários avançados frequentemente usam indevidamente para realizar ações além de seu propósito original. Cibercriminosos os utilizam ativamente para baixar malware, garantir persistência, para exfiltração de dados, para movimento lateral e mais. Ontem mesmo escrevemos sobre uma regra que detecta ataques do grupo Evil Corp, que […]
Conteúdo de Detecção: Ransomware WastedLocker
O novo ransomware WastedLocker foi detectado pela primeira vez em maio de 2020. Ele foi desenvolvido pelo grupo de destaque Evil Corp, que anteriormente utilizou o Dridex trojan para implantar BitPaymer ransomware em ataques direcionados a organizações governamentais e empresas nos Estados Unidos e Europa. No ano passado, parte dos atacantes deixou o grupo e […]