Propósito O objetivo deste post é destacar os benefícios de usar detecções baseadas em SIGMA em comparação com baseadas em IOC. Introdução Os Indicadores de Comprometimento (IOCs) – IPs, domínios, hashes, nomes de arquivos, etc., conforme relatado por pesquisadores de segurança, são consultados em sistemas e SIEMs para encontrar intrusões. Esses indicadores funcionam contra ataques […]
Conteúdo de Detecção: Ataque Relacionado à COVID-19 em Fornecedores Médicos
Nova regra Sigma por Osman Demir ajuda a detectar ataques de phishing relacionados à COVID-19 direcionados a fornecedores médicos. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ A campanha se tornou conhecida no final da semana passada, e os pesquisadores acreditam que está associada a golpistas 419 que exploram a pandemia de COVID-19 para ataques de Compromisso de Email Comercial. Os adversários […]
Integração entre SOC Prime e Humio: Destaques Técnicos
SOC Prime opera a maior e mais avançada plataforma de defesa cibernética colaborativa, permitindo que organizações globais busquem eficientemente ameaças emergentes a uma velocidade relâmpago. A plataforma Detection as Code da SOC Prime curadoria dos conteúdos de detecção de ameaças baseados em Sigma mais atualizados e integra-se com mais de 25 plataformas SIEM, EDR e […]
Regra Sigma: Grupo de Hackers Outlaw
A equipe da SOC Prime lançou uma nova regra Sigma baseada em IOCs que pode detectar os indicadores conhecidos do grupo de hackers Outlaw. Confira o link para ver as traduções disponíveis no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ Além disso, você pode usar Uncoder para converter a regra Sigma para várias plataformas suportadas sem acesso ao seu […]
Resumo das Regras. APT e Malware: Conteúdo Lançado Esta Semana
Esta semana, as regras para detectar malware e atividade APT, tanto da nossa equipe quanto dos participantes do Programa de Recompensas de Ameaças ganharam destaque. Nos resumos, tentamos chamar sua atenção para regras interessantes publicadas na última semana. APT StrongPity por Ariel Millahuel https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 APT StrongPity (também conhecido como Promethium) utiliza instaladores comprometidos de […]
Regra da Semana: Possível Arquivo Malicioso com Dupla Extensão
Os adversários podem disfarçar executáveis maliciosos como imagens, documentos ou arquivos, substituindo ícones de arquivos e adicionando extensões falsas aos nomes dos arquivos. Tais arquivos “elaborados” são frequentemente usados como anexos em e-mails de phishing, e este é um método bastante eficaz para infectar sistemas Windows devido à opção “Ocultar extensões de tipos de arquivos […]
Conteúdo de Threat Hunting: Descubra o Backdoor Bladabindi
O backdoor Bladabindi é conhecido desde pelo menos 2013. Seus autores monitoram as tendências de cibersegurança e melhoram o backdoor para evitar sua detecção: eles recompilam, renovam e rehash, tornando o conteúdo de detecção baseado em IOCs quase inútil. Em 2018, o backdoor Bladabindi tornou-se sem arquivos e foi utilizado como uma carga secundária entregue […]
Atualização Esplêndida de TDM da SOC Prime de Abril
Com este lançamento, fizemos um ótimo trabalho e hoje estamos felizes em apresentar nossos novos recursos e melhorias brilhantes para o SOC Prime Threat Detection Marketplace (TDM). Confira as novidades.Novas PlataformasA inovação mais desejada é o suporte a algumas plataformas populares.CrowdStrikeAgora você pode buscar ameaças usando as regras do TDM no ambiente CrowdStrike. O botão […]
Regra Sigma: Campanha de Malware Asnarok no Firewall Sophos
Uma atualização de segurança de emergência para o Sophos XG Firewall foi lançada neste sábado. A atualização corrige uma vulnerabilidade de execução remota de código por injeção SQL zero-day que está sendo explorada ativamente na natureza. Ela permite que cibercriminosos comprometam firewalls da Sophos através de sua interface de gerenciamento e implantem o malware Asnarok. […]
Conteúdo de Detecção: Encontrando Atividade do Trojan Ursnif
A regra exclusiva ‘Injeção de Processo pelo Ursnif (Malware Dreambot)’ de Emir Erdogan é lançada no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/ O trojan bancário Ursnif tem sido usado por adversários em várias modificações por cerca de 13 anos, constantemente ganhando novos recursos e adquirindo novos truques para evitar soluções de segurança. Seu código-fonte foi vazado em […]