O NetWire é um Trojan de Acesso Remoto disponível publicamente que faz parte da família de malware NetWiredRC usada por cibercriminosos desde 2012. Sua funcionalidade principal é focada no roubo de credenciais e keylogging, mas também possui capacidades de controle remoto. Os adversários frequentemente distribuem o NetWire através de malspam e emails de phishing. Em […]
Entrevista com o Desenvolvedor: Emir Erdogan
Continuamos entrevistando os membros do Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e hoje queremos apresentar-lhe Emir Erdogan. Emir participa do programa desde setembro de 2019, ele tem mais de 110 regras Sigma publicadas em seu nome, mas Emir também publica regras YARA para detectar ameaças reais. Suas regras são frequentemente encontradas em nossos posts do blog: Resumos […]
Conteúdo de Caça a Ameaças: Múltipla Detecção de HawkEye
Começamos a semana com uma nova regra de Emir Erdogan – HawkEye Multiple Detection (Campanha de Phishing Temática sobre Covid19). Este malware também é conhecido como Predator Pain e rouba uma variedade de informações sensíveis do sistema infectado, incluindo informações de carteiras de bitcoin e credenciais de navegadores e clientes de e-mail. O ladrão de […]
Resumo de Regras: RCE, CVE, OilRig e mais
Este digest inclui regras de ambos os membros do Programa Bounty de Ameaças e da Equipe SOC Prime. Vamos começar com regras de Arunkumar Krishna que estrearão em nosso Digest de Regras com CVE-2020-0932: Uma Falha de Execução Remota de Código no Microsoft SharePoint. O CVE-2020-0932 foi corrigido em abril, ele permite que usuários autenticados […]
Regra da Semana: Detecção de Ransomware Nefilim/Nephilim
Esta semana queremos destacar a regra Sigma da comunidade por Emir Erdogan que ajuda a detectar o ransomware Nefilim/Nephilim usado em ataques destrutivos. Esta família de ransomware foi descoberta pela primeira vez há dois meses, e seu código é baseado no ransomware NEMTY, que surgiu no verão passado como um programa de afiliados público. Parece […]
Conteúdo de Caça às Ameaças: Campanhas de COVID19 do Remcos RAT
O Remcos RAT foi avistado pela primeira vez em 2016. Agora, ele se declara como uma ferramenta de acesso remoto legítima, mas foi usado em várias campanhas de hacking globais. Em vários sites e fóruns, cibercriminosos anunciam, vendem e oferecem a versão crackeada deste malware. Desde o final de fevereiro, pesquisadores de segurança descobriram várias […]
Conteúdo de Detecção: Cavalo de Troia Floxif
O trojan Floxif é conhecido principalmente por ser usado pelo grupo Winnti, eles o distribuíram com o CCleaner infectado, que foi baixado pelos usuários do site oficial. O ataque ocorreu em setembro de 2017, os atacantes supostamente ganharam acesso ao ambiente de construção do CCleaner. O trojan Floxif foi usado com o trojan Nyetya para […]
Mapeamento de Campos Personalizados
Esta postagem no blog descreve o recurso de mapeamento de esquemas de dados personalizados disponível no SOC Prime Threat Detection Marketplace para planos de Assinatura Premium. O mapeamento de esquemas de dados personalizados permite que os usuários criem uma configuração de mapeamento personalizada para a maioria das fontes de log e plataformas, que pode ser […]
Digest de Regras: Segurança de Servidor Web e Detecção de Trojans
Continuamos chamando sua atenção para regras cujas capacidades estão além do conteúdo de detecção mais comum que analisa logs do Sysmon. Hoje em nosso resumo há duas regras para detectar ataques a servidores web, uma continuação de uma série de regras (1, 2) para descobrir traços de ataques do grupo de hackers Outlaw, e conteúdo […]
Regra IOC: Trojan Bancário Grandoreiro
Um artigo recentemente publicado “SIGMA vs Indicadores de Compromisso” por Adam Swan, nosso Engenheiro Chefe de Caça a Ameaças, demonstra os benefícios das regras de caça a ameaças Sigma sobre o conteúdo baseado em IOCs. Embora não possamos descartar as regras Sigma de IOC, já que elas podem ajudar a identificar um fato de comprometimento, além […]