Na semana passada, pesquisadores publicaram detalhes dos ataques direcionados a telecomunicações do Oriente Médio realizados pelo APT34 (também conhecido como OilRig e Helix Kitten), e ferramentas atualizadas no arsenal deste grupo. Claro, os participantes do Programa Threat Bounty não passaram por isso e publicaram algumas regras para detectar o RDAT Backdoor, mas mais sobre isso […]
Conteúdo de Caça a Ameaças: Emotet Retorna Novamente
Pois nunca houve uma história de maior sofrimento do que esta de mais uma vez o retorno do Emotet. Desta vez, não houve campanhas em grande escala por cerca de sete meses, embora casos isolados de infecção tenham sido registrados e pesquisadores encontraram documentos distribuindo este malware. Os ataques foram retomados na sexta-feira passada, com […]
CVE-2020-3452: Leitura de Arquivo Não Autenticada em Cisco ASA e Detecção de Cisco Firepower
Novamente, saímos do cronograma usual de publicações devido ao surgimento de um exploit para a vulnerabilidade crítica CVE-2020-3452 no Cisco ASA & Cisco Firepower, bem como ao surgimento de regras para detectar a exploração dessa vulnerabilidade. CVE-2020-3452 – mais uma dor de cabeça em Julho CVE-2020-3452 foi descoberta no final do ano passado, mas não […]
Conteúdo de Detecção: Formbook Disparado por PDF Falso (Comportamento Sysmon)
O surto de Covid19 revelou uma série de pontos cegos na cibersegurança. Fazemos o nosso melhor para mantê-lo informado sobre as últimas tendências em nossas Palestras Semanais, webinars, Digestos de conteúdos relevantes. No entanto, a curiosidade humana em meio ao fluxo de informações pode ser um ponto fraco. FormBook, o infostealer conhecido desde 2016, tem […]
Conteúdo de Caça a Ameaças: DNS.exe Falhando (Possível detecção de CVE-2020-1350)
Julho provou ser frutífero para as vulnerabilidades críticas divulgadas: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls) e CVE-2020-1350 (também conhecida como SIGRed, a vulnerabilidade no Microsoft Windows DNS Server). Na semana passada, os colaboradores do Threat Bounty Program e a equipe da […]
Conteúdo de Detecção: Trojan Hancitor
O post de hoje é sobre novas versões do trojan Hancitor e algumas regras lançadas pelo Programa Threat Bounty participantes, o que permite que as soluções de segurança os detectem. Hancitor Trojan (Técnica de Evasão) regra da comunidade por Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Infecção por Hancitor com Ursnif regra exclusiva por Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ Este malware […]
Digesto de Regras: CobaltStrike, APT10 e APT41
Temos o prazer de apresentar a você o regular Digest de Regras, que consiste em regras desenvolvidas exclusivamente pela equipe da SOC Prime. Este é um tipo de seleção temática, uma vez que todas essas regras ajudam a encontrar atividades maliciosas de grupos APT ligados ao governo chinês e à ferramenta CobaltStrike, frequentemente usada por […]
Conteúdo de Detecção: Comportamento do GoldenHelper
Esta semana não destacaremos nenhuma regra na seção “Regra da Semana”, porque as regras mais quentes já foram publicadas no digest especial de ontem dedicado às regras que detectam a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows, CVE-2020-1350 (também conhecida como SIGRed). A publicação de hoje é dedicada à detecção do malware […]
Deteção de Exploração CVE-2020-1350 (SIGRed) com Regras de Caça a Ameaças
Hoje introduzimos uma compilação especial de conteúdo que ajuda a detectar a exploração de uma vulnerabilidade crítica nos Servidores DNS do Windows. A vulnerabilidade tornou-se conhecida apenas dois dias atrás, mas desde então, tanto a equipe da SOC Prime (representada por Nate Guagenty) quanto os participantes do Threat Bounty Program publicaram mais de 10 regras […]
Painel da Empresa: Insights Sobre Sua Atividade no Mercado de Detecção de Ameaças
SOC Prime Threat Detection Marketplace (SOC Prime TDM) foi criado como uma plataforma de conteúdo SaaS que ajuda as empresas a avançar suas análises de segurança. Portanto, potencializar as capacidades analíticas e fornecer estatísticas em tempo real é uma das características principais que nós da SOC Prime consideramos de valor primordial. A visualização de dados […]