What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2021-09-01 08:01:01 | Trop long;N'a pas lu - acteur inconnu à l'aide de fichiers journaux CLFS pour furtivité Too Log; Didn\\'t Read - Unknown Actor Using CLFS Log Files for Stealth (lien direct) |
L'équipe Mandiant Advanced Practices a récemment découvert une nouvelle famille de logiciels malveillants que nous avons nommée Privatelog et son installateur, Stashlog.Dans cet article, nous partagerons une technique nouvelle et particulièrement intéressante que les échantillons utilisent pour masquer les données, ainsi qu'une analyse détaillée des deux fichiers qui ont été effectués avec le support des analystes Flare.Nous partagerons également les règles de détection des échantillons et les recommandations de chasse pour trouver une activité similaire dans votre environnement.
Mandiant n'a pas encore observé Privatelog ou Stashlog dans aucun environnement client ou pour récupérer les charges utiles de deuxième étape lancées par Privatelog
The Mandiant Advanced Practices team recently discovered a new malware family we have named PRIVATELOG and its installer, STASHLOG. In this post, we will share a novel and especially interesting technique the samples use to hide data, along with detailed analysis of both files that was performed with the support of FLARE analysts. We will also share sample detection rules, and hunting recommendations to find similar activity in your environment. Mandiant has yet to observe PRIVATELOG or STASHLOG in any customer environments or to recover any second-stage payloads launched by PRIVATELOG |
Malware | ★★★★ | |
|
2021-07-19 13:00:00 | capa 2.0: mieux, plus fort, plus rapide capa 2.0: Better, Stronger, Faster (lien direct) |
Nous sommes ravis d'annoncer la version 2.0 de notre outil open source appelé CAPA.CAPA identifie automatiquement les capacités des programmes à l'aide d'un ensemble de règles extensible.L'outil prend en charge à la fois le triage de logiciels malveillants et l'ingénierie inverse de plongée profonde.Si vous avez déjà entendu parler de capa ou si vous avez besoin d'un rafraîchissement, consultez notre First BlogPost .Vous pouvez télécharger des binaires autonomes CAPA 2.0 à partir de la Page de publication et de vérifier le code source sur github .
CAPA 2.0 permet à quiconque de contribuer des règles plus facilement, ce qui rend l'écosystème existant encore plus dynamique.Ce billet de blog détaille le major suivant
We are excited to announce version 2.0 of our open-source tool called capa. capa automatically identifies capabilities in programs using an extensible rule set. The tool supports both malware triage and deep dive reverse engineering. If you haven\'t heard of capa before, or need a refresher, check out our first blog post. You can download capa 2.0 standalone binaries from the project\'s release page and checkout the source code on GitHub. capa 2.0 enables anyone to contribute rules more easily, which makes the existing ecosystem even more vibrant. This blog post details the following major |
Malware Tool Technical | ★★★★ | |
|
2021-05-12 10:30:00 | Le fournisseur mondial du stockage et de la gestion des informations maximise la valeur de sécurité avec la validation de sécurité mandiante Global Information Storage and Management Provider Maximizes Security Value With Mandiant Security Validation (lien direct) |
Il n'y a peut-être pas de meilleur exemple de la critique de la cybersécurité efficace que pour une entreprise mondiale dont l'activité principale est de stocker et de protéger ses clients \\ 'Data and Digital Assets.
basé dans la région orientale des États-Unis, la société s'appuie sur Google Cloud, Azure et AWS pour sa continuité des activités basée sur le cloud et le stockage et les offres de gestion des informations.La combinaison des réglementations rigides de confidentialité des données avec une augmentation régulière des attaques de ransomwares et de logiciels malveillants contre les entreprises dans plusieurs industries a fait pression sur le leadership pour démontrer la valeur et l'efficacité
There is perhaps no better example of how critical effective cyber security is than for a global company whose core business is storing and protecting its customers\' data and digital assets. Headquartered in the eastern region of the U.S., the company relies on Google Cloud, Azure and AWS for its cloud-based business continuity and information storage and management offerings. The combination of rigid data privacy regulations with a steady increase in ransomware and malware attacks against businesses across multiple industries pressured leadership to demonstrate the value and effectiveness |
Ransomware Malware | ★★★★ | |
|
2021-05-04 09:00:00 | Le Triple Double UNC2529: une campagne de phishing trifecta The UNC2529 Triple Double: A Trifecta Phishing Campaign (lien direct) |
En décembre 2020, Mandiant a observé une campagne de phishing mondiale répandue ciblant de nombreuses organisations dans un éventail d'industries.Mandiant suit cet acteur de menace comme UNC2529.Sur la base de l'infrastructure considérable employée, des leurres de phishing personnalisés et de la sophistication codée par des professionnels du malware, cet acteur de menace semble expérimenté et bien ressources.Ce billet de blog discutera de la campagne de phishing, de l'identification de trois nouvelles familles de logiciels malveillants, Doubledrag, Doubledrop et Doubleback, fournissent une plongée profonde dans leur fonctionnalité, présentent un aperçu du modus de l'acteur \\
In December 2020, Mandiant observed a widespread, global phishing campaign targeting numerous organizations across an array of industries. Mandiant tracks this threat actor as UNC2529. Based on the considerable infrastructure employed, tailored phishing lures and the professionally coded sophistication of the malware, this threat actor appears experienced and well resourced. This blog post will discuss the phishing campaign, identification of three new malware families, DOUBLEDRAG, DOUBLEDROP and DOUBLEBACK, provide a deep dive into their functionality, present an overview of the actor\'s modus |
Malware Threat | ★★★ | |
|
2021-04-29 16:00:00 | UNC2447 Ransomware Sombrat et Fivehands: une menace financière sophistiquée UNC2447 SOMBRAT and FIVEHANDS Ransomware: A Sophisticated Financial Threat (lien direct) |
Mandiant a observé un groupe agressif à motivation financière, UNC2447, exploitant une vulnérabilité VPN de SONicwall VPN avant qu'un patch soit disponible et le déploiement de logiciels malveillants sophistiqués précédemment signalés par d'autres fournisseurs comme sombrat.Mandiant a lié l'utilisation de Sombrat au déploiement de ransomwares, qui n'a pas été signalé publiquement.
UNC2447 monétise les intrusions en extorquant d'abord leurs victimes avec des ransomwares à cinq main-hands suivis de la pression agressive par des menaces d'attention des médias et de l'offre de données sur les victimes à vendre sur les forums de pirates.Unc2447 a
Mandiant has observed an aggressive financially motivated group, UNC2447, exploiting one SonicWall VPN zero-day vulnerability prior to a patch being available and deploying sophisticated malware previously reported by other vendors as SOMBRAT. Mandiant has linked the use of SOMBRAT to the deployment of ransomware, which has not been previously reported publicly. UNC2447 monetizes intrusions by extorting their victims first with FIVEHANDS ransomware followed by aggressively applying pressure through threats of media attention and offering victim data for sale on hacker forums. UNC2447 has |
Ransomware Malware Vulnerability Threat | ★★★ | |
|
2021-03-31 10:00:00 | De retour dans un peu: utilisation de l'attaquant du service de transfert intelligent de fond de Windows Back in a Bit: Attacker Use of the Windows Background Intelligent Transfer Service (lien direct) |
Dans cet article de blog, nous décrirons: Comment les attaquants utilisent le service de transfert intelligent (bits) Techniques médico-légales pour détecter l'activité de l'attaquant avec des spécifications de format de données Libération publique de la bitsparser Tool Un exemple réel de logiciels malveillants utilisant des bits persistance Introduction Microsoft a introduit le service de transfert (bits) intelligent de fond avec Windows XP pour simplifier et coordonner le téléchargement et le téléchargement de fichiers volumineux.Applications et composants système, notamment Windows Update, utilisent des bits pour fournir un système d'exploitation et In this blog post we will describe: How attackers use the Background Intelligent Transfer Service (BITS) Forensic techniques for detecting attacker activity with data format specifications Public release of the BitsParser tool A real-world example of malware using BITS persistence Introduction Microsoft introduced the Background Intelligent Transfer Service (BITS) with Windows XP to simplify and coordinate downloading and uploading large files. Applications and system components, most notably Windows Update, use BITS to deliver operating system and | Malware | ★★★ | |
|
2021-03-04 17:00:00 | La nouvelle porte dérobée de deuxième étape Sunshuttle a été découverte de ciblage de l'entité américaine;Connexion possible à UNC2452 New SUNSHUTTLE Second-Stage Backdoor Uncovered Targeting U.S.-Based Entity; Possible Connection to UNC2452 (lien direct) |
Résumé de l'exécutif
En août 2020, une entité basée aux États-Unis a téléchargé une nouvelle porte dérobée que nous avons nommée Sunshuttle dans un référentiel de logiciels malveillants public.
Sunshuttle est une porte dérobée de deuxième étape écrite à Golang qui présente certaines capacités d'évasion de détection.
Mandiant a observé Sunshuttle lors d'une victime compromise par UNC2452 et a indiqué qu'il est lié à UNC2452, mais nous n'avons pas entièrement vérifié cette connexion.
Veuillez consulter l'annexe technique des techniques pertinentes d'attr & amp; CK (T1027, T1027.002, T1059.003, T1071.001, T1105, T1140, T1573.001).
L'activité discutée dans cet article de blog est
Executive Summary In August 2020, a U.S.-based entity uploaded a new backdoor that we have named SUNSHUTTLE to a public malware repository. SUNSHUTTLE is a second-stage backdoor written in GoLang that features some detection evasion capabilities. Mandiant observed SUNSHUTTLE at a victim compromised by UNC2452, and have indications that it is linked to UNC2452, but we have not fully verified this connection. Please see the Technical Annex for relevant MITRE ATT&CK techniques (T1027, T1027.002, T1059.003, T1071.001, T1105, T1140, T1573.001). The activity discussed in this blog post is |
Malware | ★★★★ | |
|
2021-01-20 16:45:00 | Émulation de rootkits en mode noyau avec speakeasy Emulation of Kernel Mode Rootkits With Speakeasy (lien direct) |
En août 2020, nous avons publié un article de blog sur la façon dont le framework d'émulation Speakeasy peut être utilisé pour imiter les logiciels malveillants en mode utilisateur tels queshellcode.Si vous avez eu une chance, Donnez un poste à lire aujourd'hui .
En plus de l'émulation du mode utilisateur, Speakeasy prend également en charge l'émulation des binaires Windows en mode noyau.Lorsque les auteurs de logiciels malveillants utilisent des logiciels malveillants en mode noyau, il sera souvent sous la forme d'un pilote de périphérique dont l'objectif final est le compromis total d'un système infecté.Le malware n'interagit pas le plus souvent avec le matériel et exploite plutôt le mode du noyau pour compromettre complètement le système et rester caché.
In August 2020, we released a blog post about how the Speakeasy emulation framework can be used to emulate user mode malware such as shellcode. If you haven\'t had a chance, give the post a read today. In addition to user mode emulation, Speakeasy also supports emulation of kernel mode Windows binaries. When malware authors employ kernel mode malware, it will often be in the form of a device driver whose end goal is total compromise of an infected system. The malware most often doesn\'t interact with hardware and instead leverages kernel mode to fully compromise the system and remain hidden. |
Malware | ★★★ | |
|
2020-12-13 22:00:00 | L'attaquant très évasif exploite la chaîne d'approvisionnement de Solarwinds pour compromettre plusieurs victimes mondiales avec Sunburst Backdoor Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor (lien direct) |
Mise à jour (mai 2022): Nous avons fusionné unc2452 avec apt29 .L'activité UNC2452 décrite dans ce post est désormais attribuée à APT29.
Résumé de l'exécutif
Nous avons découvert une campagne mondiale d'intrusion.Nous suivons les acteurs derrière cette campagne sous le nom de UNC2452.
Fireeye a découvert une attaque de chaîne d'approvisionnement trrojanisant les mises à jour de logiciels commerciaux de Solarwinds Orion afin de distribuer des logiciels malveillants que nous appelons Sunburst.
L'activité post-compromis de l'attaquant exploite plusieurs techniques pour échapper à la détection et obscurcir leur activité, mais ces efforts offrent également quelques opportunités de détection.
le
UPDATE (May 2022): We have merged UNC2452 with APT29. The UNC2452 activity described in this post is now attributed to APT29. Executive Summary We have discovered a global intrusion campaign. We are tracking the actors behind this campaign as UNC2452. FireEye discovered a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute malware we call SUNBURST. The attacker\'s post compromise activity leverages multiple techniques to evade detection and obscure their activity, but these efforts also offer some opportunities for detection. The |
Malware | Solardwinds APT 29 | ★★★ |
|
2020-12-01 20:30:00 | Utilisation du cadre d'émulation Speakeasy par programme pour déballer les logiciels malveillants Using Speakeasy Emulation Framework Programmatically to Unpack Malware (lien direct) |
Andrew Davis récemment a annoncé le communiqué public de son nouveau cadre d'émulation Windowsnommé speakeasy .Alors que le blog d'introduction s'est concentré sur l'utilisation de Speakeasy comme bac à sable de logiciels malveillants automatisés, cette entrée mettra en évidence une autre utilisation puissante du framework: déballage automatisé de logiciels malveillants.Je vais démontrer, avec des exemples de code, comment Speakeasy peut être utilisé par programme pour:
Typens les API Windows non pris en charge pour poursuivre l'émulation et le déballage
Enregistrer les adresses virtuelles du code alloué dynamiquement à l'aide de crochets API
Exécution directe chirurgicale vers les zones clés du code à l'aide de crochets de code
Andrew Davis recently announced the public release of his new Windows emulation framework named Speakeasy. While the introductory blog post focused on using Speakeasy as an automated malware sandbox of sorts, this entry will highlight another powerful use of the framework: automated malware unpacking. I will demonstrate, with code examples, how Speakeasy can be used programmatically to: Bypass unsupported Windows APIs to continue emulation and unpacking Save virtual addresses of dynamically allocated code using API hooks Surgically direct execution to key areas of code using code hooks |
Malware | ★★★★ | |
|
2020-10-28 17:00:00 | Spécial d'heure malheureuse: Kegtap et Singlemalt avec un chasseur de ransomwares Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser (lien direct) |
tout au long de 2020, l'activité des ransomwares est devenue de plus en plus prolifique, en s'appuyant sur un écosystème d'opérations distinctes mais co-habilitantes pour accéder à des cibles d'intérêt avant de procéder à l'extorsion.Mandiant Threat Intelligence a suivi plusieurs campagnes de chargeur et de porte dérobée qui mènent au déploiement post-compromis de ransomwares, parfois dans 24 heures de compromis initial .Une détection efficace et rapide de ces campagnes est essentielle pour atténuer cette menace.
Les familles de logiciels malveillants permettant ces attaques précédemment rapportées par Mandiant aux abonnés de l'intelligence incluent Kegtap / Beerbot
Throughout 2020, ransomware activity has become increasingly prolific, relying on an ecosystem of distinct but co-enabling operations to gain access to targets of interest before conducting extortion. Mandiant Threat Intelligence has tracked several loader and backdoor campaigns that lead to the post-compromise deployment of ransomware, sometimes within 24 hours of initial compromise. Effective and fast detection of these campaigns is key to mitigating this threat. The malware families enabling these attacks previously reported by Mandiant to intelligence subscribers include KEGTAP/BEERBOT |
Ransomware Malware Threat | ★★★ | |
|
2020-08-26 10:00:00 | Émulation de code de coquille malveillante avec speakeasy Emulation of Malicious Shellcode With Speakeasy (lien direct) |
Afin de permettre l'émulation d'échantillons de logiciels malveillants à grande échelle, nous avons développé le Frame d'émulation Speakeasy .Speakeasy vise à faciliter la facilité que possible pour les utilisateurs qui ne sont pas des analystes de logiciels malveillants d'acquérir des rapports de triage de manière automatisée, ainsi que pour permettre aux ingénieurs inversés d'écrire des plugins personnalisés pour triage des familles de logiciels malveillants.
Créé à l'origine pour imiter les logiciels malveillants du mode du noyau Windows, SpeakeSy prend désormais également en charge les échantillons de mode utilisateur.L'objectif principal du projet \\ est l'émulation à haute résolution du système d'exploitation Windows pour l'analyse dynamique des logiciels malveillants pour les plates-formes X86 et AMD64
In order to enable emulation of malware samples at scale, we have developed the Speakeasy emulation framework. Speakeasy aims to make it as easy as possible for users who are not malware analysts to acquire triage reports in an automated way, as well as enabling reverse engineers to write custom plugins to triage difficult malware families. Originally created to emulate Windows kernel mode malware, Speakeasy now also supports user mode samples. The project\'s main goal is high resolution emulation of the Windows operating system for dynamic malware analysis for the x86 and amd64 platforms |
Malware | ★★★★ | |
|
2020-08-04 10:00:00 | Annonce du septième défi annuel Flare-on Announcing the Seventh Annual Flare-On Challenge (lien direct) |
 L'équipe Front Line Applied Research & Expertise (Flare) est honorée d'annoncer que le défi populaire Flare-On reviendra pour une septième année triomphante.Les événements mondiaux en cours ne se sont pas révélés à notre passion pour la création de puzzles stimulants et amusants pour tester et perfectionner les compétences en herbe et en inverse expérimentée.
Le concours commencera à 20h00.ET le 11 septembre 2020. Il s'agit d'un défi de style CTF pour tous les ingénieurs inverses actifs et en herbe, les analystes de logiciels malveillants et les professionnels de la sécurité.Le concours se déroule pendant six semaines complet et se termine à 20h00.ET le 23 octobre 2020.
th
The Front Line Applied Research & Expertise (FLARE) team is honored to announce that the popular Flare-On challenge will return for a triumphant seventh year. Ongoing global events proved no match against our passion for creating challenging and fun puzzles to test and hone the skills of aspiring and experienced reverse engineers.
The contest will begin at 8:00 p.m. ET on Sept. 11, 2020. This is a CTF-style challenge for all active and aspiring reverse engineers, malware analysts and security professionals. The contest runs for six full weeks and ends at 8:00 p.m. ET on Oct. 23, 2020.
Th |
Malware | ★★★ | |
|
2020-07-16 14:40:00 | CAPA: Identifiez automatiquement les capacités de logiciels malveillants capa: Automatically Identify Malware Capabilities (lien direct) |
capa est le nouvel outil open source de l'équipe Flare \\ pour analyser les programmes malveillants.Notre outil fournit un cadre pour que la communauté puisse encoder, reconnaître et partager des comportements que nous avons vus dans les logiciels malveillants.Quel que soit votre parcours, lorsque vous utilisez CAPA, vous invoquez des décennies d'expérience cumulative d'ingénierie inverse pour comprendre ce qu'un programme fait.Dans cet article, vous apprendrez comment fonctionne CAPA, comment installer et utiliser l'outil, et pourquoi vous devez l'intégrer dans votre flux de travail de triage à partir d'aujourd'hui.
Problème
Les analystes efficaces peuvent rapidement comprendre et hiérarchiser les fichiers inconnus dans
capa is the FLARE team\'s newest open-source tool for analyzing malicious programs. Our tool provides a framework for the community to encode, recognize, and share behaviors that we\'ve seen in malware. Regardless of your background, when you use capa, you invoke decades of cumulative reverse engineering experience to figure out what a program does. In this post you will learn how capa works, how to install and use the tool, and why you should integrate it into your triage workflow starting today. Problem Effective analysts can quickly understand and prioritize unknown files in |
Malware Tool | ★★★★ | |
|
2020-07-15 10:00:00 | Les acteurs à motivation financière étendent l'accès à l'OT: analyse des listes de mise à mort qui incluent des processus OT utilisés avec sept familles de logiciels malveillants Financially Motivated Actors Are Expanding Access Into OT: Analysis of Kill Lists That Include OT Processes Used With Seven Malware Families (lien direct) |
Mandiant Threat Intelligence a recherché et rédigé de nombreuses recherches sur l'activité de menace financière croissante impactant directement les réseaux de technologie opérationnelle (OT).Certaines de ces recherches sont disponibles dans nos précédents articles de blog sur post-compromise industrielleRansomware Et approche de Fireeye \\ pour la sécurité OT .Bien que la plupart des acteurs derrière cette activité ne se différencient probablement pas entre celui-ci et l'OT ou ont un intérêt particulier pour les actifs OT, ils sont motivés par le but de gagner de l'argent et ont démontré les compétences nécessaires pour fonctionner dans ces réseaux.Par exemple, le changement vers
Mandiant Threat Intelligence has researched and written extensively on the increasing financially motivated threat activity directly impacting operational technology (OT) networks. Some of this research is available in our previous blog posts on industrial post-compromise ransomware and FireEye\'s approach to OT security. While most of the actors behind this activity likely do not differentiate between IT and OT or have a particular interest in OT assets, they are driven by the goal of making money and have demonstrated the skills needed to operate in these networks. For example, the shift to |
Malware Threat Industrial | ★★★★ | |
|
2020-07-07 13:00:00 | Configuration d'un domaine Windows pour analyser dynamiquement un outil de mouvement latéral obscurci Configuring a Windows Domain to Dynamically Analyze an Obfuscated Lateral Movement Tool (lien direct) |
Nous avons récemment rencontré un grand échantillon de logiciels malveillants obscurcis qui a offert plusieurs défis d'analyse intéressants.Il a utilisé la virtualisation qui nous a empêchés de produire un vidage de mémoire entièrement désobfusé pour une analyse statique.L'analyse statiquement d'un grand échantillon virtualisé peut prendre de plusieurs jours à plusieurs semaines.Le contournement de cette étape chronophage a présenté une opportunité de collaboration entre l'équipe d'ingénierie inverse de Flare et l'équipe de conseil Mandiant qui a finalement économisé de nombreuses heures d'ingénierie inverse difficile.
Nous avons soupçonné que l'échantillon était un mouvement latéral
We recently encountered a large obfuscated malware sample that offered several interesting analysis challenges. It used virtualization that prevented us from producing a fully-deobfuscated memory dump for static analysis. Statically analyzing a large virtualized sample can take anywhere from several days to several weeks. Bypassing this time-consuming step presented an opportunity for collaboration between the FLARE reverse engineering team and the Mandiant consulting team which ultimately saved many hours of difficult reverse engineering. We suspected the sample to be a lateral movement |
Malware Tool | ★★★★ | |
|
2020-05-12 09:30:00 | Analyse du rat de cristal foncé, une porte dérobée C # Analyzing Dark Crystal RAT, a C# Backdoor (lien direct) |
le Fireeye Mandiant Threat Intelligence Team aide à protéger nos clients en suivant les cyberattaquants et les logiciels malveillants qu'ils utilisent.L'équipe Flare aide à augmenter notre intelligence des menaces en insensé des échantillons de logiciels malveillants en ingénierie.Récemment, Flare a travaillé sur une nouvelle variante C # de Dark Crystal Rat (DCRAT) que l'équipe d'Intel de menace nous a transmise.Nous avons examiné l'intelligence open source et les travaux antérieurs, effectué des tests de bac à sable et inversé le rat de cristal noir pour examiner ses capacités et son protocole de communication.En publiant ce billet de blog, nous visons à aider les défenseurs à rechercher des indicateurs de
The FireEye Mandiant Threat Intelligence Team helps protect our customers by tracking cyber attackers and the malware they use. The FLARE Team helps augment our threat intelligence by reverse engineering malware samples. Recently, FLARE worked on a new C# variant of Dark Crystal RAT (DCRat) that the threat intel team passed to us. We reviewed open source intelligence and prior work, performed sandbox testing, and reverse engineered the Dark Crystal RAT to review its capabilities and communication protocol. Through publishing this blog post we aim to help defenders look for indicators of |
Malware Threat | ★★★ | |
|
2020-04-02 10:00:00 | Fakennet Genie: Amélioration de l'analyse dynamique des logiciels malveillants avec des codes de triche pour fakennet-ng FakeNet Genie: Improving Dynamic Malware Analysis with Cheat Codes for FakeNet-NG (lien direct) |
En tant que développeurs de l'outil de simulation de réseau FAKENET-NG, ingénieurs inverses de l'équipe Fireeye Flare et instructeurs d'analyse de logiciels malveillants, nous voyons comment différents analystes utilisent Fakennet-NG et les défis auxquels ils sont confrontés.Nous avons appris que Fakennet-NG fournit de nombreuses fonctionnalités et solutions utiles dont nos utilisateurs ignorent souvent.Dans cet article de blog, nous présenterons certains codes de triche pour améliorer votre analyse de réseau avec Fakennet-NG.Nous introduirons des réponses personnalisées et présenterons des fonctionnalités puissantes telles que l'exécution de commandes sur les événements de connexion et le décryptage du trafic SSL.
depuis son premier
As developers of the network simulation tool FakeNet-NG, reverse engineers on the FireEye FLARE team, and malware analysis instructors, we get to see how different analysts use FakeNet-NG and the challenges they face. We have learned that FakeNet-NG provides many useful features and solutions of which our users are often unaware. In this blog post, we will showcase some cheat codes to level up your network analysis with FakeNet-NG. We will introduce custom responses and demonstrate powerful features such as executing commands on connection events and decrypting SSL traffic. Since its first |
Malware Tool | ★★★ | |
|
2020-03-31 10:00:00 | C'est votre argent et ils le veulent maintenant - le cycle de la poursuite de l'adversaire It\\'s Your Money and They Want It Now - The Cycle of Adversary Pursuit (lien direct) |
Lorsque nous découvrons de nouvelles intrusions, nous nous posons des questions qui nous aideront à comprendre la totalité de l'ensemble d'activités.
Quelle est la fréquence de cette activité?Y a-t-il quelque chose d'unique ou de spécial dans ce logiciel malveillant ou cette campagne?Qu'est-ce qui est nouveau et qu'est-ce qui est ancien en termes de TTPS ou d'infrastructures?Est-ce que cela est vu ailleurs?Quelles informations ai-je qui soutiennent la nature de cet acteur de menace?
Pour suivre un adversaire rapide au fil du temps, nous exploitons des données d'intrusion organiques, pivotons à d'autres ensembles de données, et rendons ces connaissances exploitables pour les analystes et les répondeurs incidents, permettant de nouveaux
When we discover new intrusions, we ask ourselves questions that will help us understand the totality of the activity set. How common is this activity? Is there anything unique or special about this malware or campaign? What is new and what is old in terms of TTPs or infrastructure? Is this being seen anywhere else? What information do I have that substantiates the nature of this threat actor? To track a fast-moving adversary over time, we exploit organic intrusion data, pivot to other data sets, and make that knowledge actionable for analysts and incident responders, enabling new |
Malware Threat | ★★★ | |
|
2020-01-24 17:00:00 | Beau essai: 501 (ransomware) non implémenté Nice Try: 501 (Ransomware) Not Implemented (lien direct) |
une menace en constante évolution
Depuis le 10 janvier 2020, Fireeye a suivi une vaste exploitation globale de CVE-2019-19781, qui continue d'avoir un impact sur Citrix ADC et Gateway Instances qui sont non corrigées ou n'ont pas Mitigations appliquées .Nous avons précédemment rendu compte des attaquants \\ 'Swift Tuts d'exploiter cette vulnérabilité et le déploiement post-compromis de l'invisible Notrobin Makware Family par un acteur de menace.FireEye continue de suivre activement plusieurs grappes d'activité associées à l'exploitation de cette vulnérabilité, principalement basée sur la façon dont les attaquants interagissent avec vulnérable
An Ever-Evolving Threat Since January 10, 2020, FireEye has tracked extensive global exploitation of CVE-2019-19781, which continues to impact Citrix ADC and Gateway instances that are unpatched or do not have mitigations applied. We previously reported on attackers\' swift attempts to exploit this vulnerability and the post-compromise deployment of the previously unseen NOTROBIN malware family by one threat actor. FireEye continues to actively track multiple clusters of activity associated with exploitation of this vulnerability, primarily based on how attackers interact with vulnerable |
Malware Vulnerability Threat | ★★★★ | |
|
2020-01-09 17:30:00 | Saigon, la mystérieuse fourche Ursnif SAIGON, the Mysterious Ursnif Fork (lien direct) |
ursnif (aka Gozi / Gozi-ISFB) est l'une des plus anciennes familles de logiciels malveillants bancaires encore en distribution active.Alors que la première version majeure d'URSNIF a été identifiée en 2006, plusieurs versions ultérieures ont été publiées en grande partie en raison des fuites de code source.Fireeye a rendu compte d'une variante non identifiée auparavant de la famille Ursnif Malware à nos abonnés de l'intelligence des menaces en septembre 2019 après avoir identifié un serveur qui a hébergé une collection d'outils, qui comprenait plusieurs familles de logiciels malveillants de point de vente.Ce malware s'est identifié comme "Saigon version 3.50 Rev 132" et notre analyse
Ursnif (aka Gozi/Gozi-ISFB) is one of the oldest banking malware families still in active distribution. While the first major version of Ursnif was identified in 2006, several subsequent versions have been released in large part due source code leaks. FireEye reported on a previously unidentified variant of the Ursnif malware family to our threat intelligence subscribers in September 2019 after identification of a server that hosted a collection of tools, which included multiple point-of-sale malware families. This malware self-identified as "SaiGon version 3.50 rev 132," and our analysis |
Malware Threat | ★★★ | |
|
2019-11-25 20:00:00 | Fidl: Bibliothèque de décompilation Ida de Flare \\ FIDL: FLARE\\'s IDA Decompiler Library (lien direct) |
IDA Pro et les décompiler des rayons hexadécimaux font la base de toute boîte à outils pour la recherche en ingénierie inverse et en vulnérabilité.Dans un article de blog précédent, nous avons expliqué comment l'API des rayons hexadécimaux peut être utilisé pour résoudre de petits problèmes bien définis couramment considérés comme faisant partie de l'analyse des logiciels malveillants.Avoir accès à une représentation de code binaire de niveau supérieur fait du décompilateur des rayons hexagonaux un outil puissant pour l'ingénierie inverse.Cependant, l'interaction avec l'API Hexrays et ses sources de données sous-jacentes peut être intimidante, ce qui rend la création de scripts d'analyse générique difficile ou fastidieux.
Ce billet de blog présente le Fla
IDA Pro and the Hex Rays decompiler are a core part of any toolkit for reverse engineering and vulnerability research. In a previous blog post we discussed how the Hex-Rays API can be used to solve small, well-defined problems commonly seen as part of malware analysis. Having access to a higher-level representation of binary code makes the Hex-Rays decompiler a powerful tool for reverse engineering. However, interacting with the HexRays API and its underlying data sources can be daunting, making the creation of generic analysis scripts difficult or tedious. This blog post introduces the FLA |
Malware Tool Vulnerability | ★★★ | |
|
2019-10-31 08:00:00 | Messagetap: Qui lit vos messages texte? MESSAGETAP: Who\\'s Reading Your Text Messages? (lien direct) |
Fireeye Mandiant a récemment découvert une nouvelle famille de logiciels malveillants utilisé par APT41 (un groupe APT chinois) conçu pour surveiller et enregistrer le trafic SMS à partir de numéros de téléphone spécifiques, de numéros IMSI et de mots clés pour le vol ultérieur.Nommé Messagetap, l'outil a été déployé par APT41 dans un fournisseur de réseaux de télécommunications à l'appui des efforts d'espionnage chinois.Les opérations d'APT41 \\ ont inclus des missions de cyber-espionnage parrainées par l'État ainsi que des intrusions financièrement motivées.Ces opérations se sont déroulées depuis 2012 à nos jours.Pour un aperçu de l'APT41, consultez notre Août 2019 Blog Post ou | Malware Tool | APT 41 | ★★★ |
|
2019-10-15 09:15:00 | Lowkey: Chasse pour l'ID de série de volume manquant LOWKEY: Hunting for the Missing Volume Serial ID (lien direct) |
En août 2019, Fireeye a publié le « Double Dragon » Rapport sur notre nouveau groupe de menaces gradué: APT41.Un groupe à double espionnage en Chine-Nexus et un groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.
Ce billet de blog concerne la porte dérobée passive sophistiquée que nous suivons en tant que Lowkey, mentionnée dans le rapport APT41 et récemment dévoilée au Fireeye Cyber Defense Summit .Nous avons observé le dispositif de ciel utilisé dans des attaques très ciblées, en utilisant des charges utiles qui fonctionnent uniquement sur des systèmes spécifiques.Famille de logiciels malveillants supplémentaires
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group: APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. This blog post is about the sophisticated passive backdoor we track as LOWKEY, mentioned in the APT41 report and recently unveiled at the FireEye Cyber Defense Summit. We observed LOWKEY being used in highly targeted attacks, utilizing payloads that run only on specific systems. Additional malware family |
Malware Threat | APT 41 APT-C-17 | ★★★★ |
|
2019-10-10 07:00:00 | Mahalo Fin7: Répondre aux opérateurs criminels \\ 'de nouveaux outils et techniques Mahalo FIN7: Responding to the Criminal Operators\\' New Tools and Techniques (lien direct) |
Au cours de plusieurs engagements récents de réponse aux incidents, les enquêteurs de FireEye Mandiant ont découvert de nouveaux outils dans l'arsenal de logiciels malveillants de Fin7 \\ et ont suivi le rythme comme Les opérateurs criminels mondiaux tentent de nouvelles techniques d'évasion.Dans ce blog, nous révélons deux des nouveaux outils de Fin7 \\ que nous avons appelés boostwrite et rdfsniffer.
Le premier des nouveaux outils de Fin7 \\ est Boostwrite & # 8211;Un compte-gouttes uniquement en mémoire qui décrypte les charges utiles intégrées à l'aide d'une clé de chiffrement récupérée à partir d'un serveur distant lors de l'exécution.FIN7 a été observé apporter de petits changements à cette famille de logiciels malveillants en utilisant plusieurs méthodes pour éviter l'antivirus traditionnel
During several recent incident response engagements, FireEye Mandiant investigators uncovered new tools in FIN7\'s malware arsenal and kept pace as the global criminal operators attempted new evasion techniques. In this blog, we reveal two of FIN7\'s new tools that we have called BOOSTWRITE and RDFSNIFFER. The first of FIN7\'s new tools is BOOSTWRITE – an in-memory-only dropper that decrypts embedded payloads using an encryption key retrieved from a remote server at runtime. FIN7 has been observed making small changes to this malware family using multiple methods to avoid traditional antivirus |
Malware Tool | ★★★ | |
|
2019-09-07 12:00:00 | Suctifier de source ouverte Open Sourcing StringSifter (lien direct) |
Les analystes de logiciels malveillants utilisent régulièrement le Strings Pendant l'analyse statiqueAfin d'inspecter les caractères imprimables d'un binaire.Cependant, l'identification des chaînes pertinentes à la main prend du temps et sujette à l'erreur humaine.Des binaires plus grands produisent plus de milliers de chaînes qui peuvent rapidement évoquer la fatigue des analystes, les chaînes pertinentes se produisent moins souvent que celles qui ne sont pas pertinentes, et la définition de «pertinente» peut varier considérablement selon les analystes.Les erreurs peuvent entraîner des indices manqués qui auraient réduit le temps global passé à effectuer une analyse de logiciels malveillants, ou pire encore, une enquête incomplète ou incorrecte
Malware analysts routinely use the Strings program during static analysis in order to inspect a binary\'s printable characters. However, identifying relevant strings by hand is time consuming and prone to human error. Larger binaries produce upwards of thousands of strings that can quickly evoke analyst fatigue, relevant strings occur less often than irrelevant ones, and the definition of "relevant" can vary significantly among analysts. Mistakes can lead to missed clues that would have reduced overall time spent performing malware analysis, or even worse, incomplete or incorrect investigatory |
Malware | ★★★★ | |
|
2019-08-29 17:00:00 | Dossier définitif de détails de débogage diabolique & # 8211;Première partie: Chemins PDB et logiciels malveillants Definitive Dossier of Devilish Debug Details – Part One: PDB Paths and Malware (lien direct) |
Vous êtes-vous déjà demandé ce qui se passe par l'esprit d'un auteur de logiciels malveillants?Comment construisent-ils leurs outils?Comment organisent-ils leurs projets de développement?Quel type d'ordinateurs et de logiciels qu'ils utilisent?Nous avons pris un coup de couteau et répondu à certaines de ces questions en explorant les informations de débogage de logiciels malveillants.
Nous constatons que les développeurs de logiciels malveillants donnent des noms descriptifs à leurs dossiers et projets de code, décrivant souvent les capacités du malware en développement.Ces noms descriptifs apparaissent ainsi dans un chemin PDB lorsqu'un projet de logiciel malveillant est compilé avec des informations de débogage de symboles.Tout le monde aime une histoire d'origine et
Have you ever wondered what goes through the mind of a malware author? How they build their tools? How they organize their development projects? What kind of computers and software they use? We took a stab and answering some of those questions by exploring malware debug information. We find that malware developers give descriptive names to their folders and code projects, often describing the capabilities of the malware in development. These descriptive names thus show up in a PDB path when a malware project is compiled with symbol debugging information. Everyone loves an origin story, and |
Malware | ★★★ | |
|
2019-08-19 12:30:00 | Game Over: détecter et arrêter une opération APT41 GAME OVER: Detecting and Stopping an APT41 Operation (lien direct) |
En août 2019, Fireeye a publié le rapport "Double Dragon" Sur notre nouveau groupe de menaces diplômées, APT41.Espionage à double espionnage China-Nexus et groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.APT41 est connu pour s'adapter rapidement aux changements et aux détections dans les environnements de victimes, recompilant souvent les logiciels malveillants dans les heures suivant l'activité des répondeurs.Dans plusieurs situations, nous avons également identifié APT41 en utilisant des vulnérabilités récemment divulguées, souvent en armement et en exploitant en quelques jours.
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group, APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. APT41 is known to adapt quickly to changes and detections within victim environments, often recompiling malware within hours of incident responder activity. In multiple situations, we also identified APT41 utilizing recently-disclosed vulnerabilities, often weaponzing and exploiting within a matter of days. |
Malware Threat | APT 41 APT 41 | ★★★★ |
|
2019-07-30 11:15:00 | Annonce du sixième défi annuel Flare-on Announcing the Sixth Annual Flare-On Challenge (lien direct) |
L'équipe Advanced Insinerering (Flare) de FireEye Labs est ravie d'annoncer que le défi de revers de la poussée de la Flare-On reviendra pour la sixième année consécutive.Le concours commencera à 20h00.ET le 16 août 2019. Il s'agit d'un défi de style CTF pour tous les ingénieurs inverses actifs et en herbe, analystes de logiciels malveillants et professionnels de la sécurité.Le concours se déroule pendant six semaines complet et se termine à 20h00.ET le 27 septembre 2019.
 Le concours de cette année \\ comportera un total de 12 défis couvrant une variété d'architectures de x86 sur Windows, .Net, Linux et Android.Aussi, pour le
The FireEye Labs Advanced Reverse Engineering (FLARE) team is thrilled to announce that the popular Flare-On reverse engineering challenge will return for the sixth straight year. The contest will begin at 8:00 p.m. ET on Aug. 16, 2019. This is a CTF-style challenge for all active and aspiring reverse engineers, malware analysts, and security professionals. The contest runs for six full weeks and ends at 8:00 p.m. ET on Sept. 27, 2019.  This year\'s contest will feature a total of 12 challenges covering a variety of architectures from x86 on Windows, .NET, Linux, and Android. Also, for the |
Malware | ★★★ | |
|
2019-07-18 10:00:00 | Hard Pass: invitation déclinante APT34 \\ à rejoindre leur réseau professionnel Hard Pass: Declining APT34\\'s Invite to Join Their Professional Network (lien direct) |
arrière-plan
Avec des tensions géopolitiques croissantes au Moyen-Orient, nous nous attendons à ce que l'Iran augmente considérablement le volume et la portée de ses campagnes de cyber-espionnage.L'Iran a un besoin critique d'intelligence stratégique et est susceptible de combler cette lacune en effectuant un espionnage contre les décideurs et les organisations clés qui peuvent avoir des informations qui renforcent les objectifs économiques et de sécurité nationale de l'Iran.L'identification de nouveaux logiciels malveillants et la création d'une infrastructure supplémentaire pour permettre de telles campagnes met en évidence l'augmentation du tempo de ces opérations à l'appui des intérêts iraniens.
fi
Background With increasing geopolitical tensions in the Middle East, we expect Iran to significantly increase the volume and scope of its cyber espionage campaigns. Iran has a critical need for strategic intelligence and is likely to fill this gap by conducting espionage against decision makers and key organizations that may have information that furthers Iran\'s economic and national security goals. The identification of new malware and the creation of additional infrastructure to enable such campaigns highlights the increased tempo of these operations in support of Iranian interests. Fi |
Malware | APT 34 APT 34 | ★★★★ |
|
2019-05-29 09:30:00 | Apprendre à classer les chaînes de sortie pour l'analyse de logiciels malveillants plus rapide Learning to Rank Strings Output for Speedier Malware Analysis (lien direct) |
inverse, les enquêteurs médico-légaux et les intervenants incidents ont un arsenal d'outils à leur disposition pour disséquer des binaires de logiciels malveillants.Lors de l'analyse des logiciels malveillants, ils appliquent successivement ces outils afin de recueillir progressivement des indices sur la fonction binaire, de concevoir des méthodes de détection et de déterminer comment contenir ses dommages.L'une des étapes initiales les plus utiles consiste à inspecter ses caractères imprimables via le Strings .Un binaire contiendra souvent des chaînes si elle effectue des opérations comme l'impression d'un message d'erreur, la connexion à une URL, la création d'une clé de registre ou la copie
Reverse engineers, forensic investigators, and incident responders have an arsenal of tools at their disposal to dissect malicious software binaries. When performing malware analysis, they successively apply these tools in order to gradually gather clues about a binary\'s function, design detection methods, and ascertain how to contain its damage. One of the most useful initial steps is to inspect its printable characters via the Strings program. A binary will often contain strings if it performs operations like printing an error message, connecting to a URL, creating a registry key, or copying |
Malware Tool | ★★★★ | |
|
2019-03-15 11:00:00 | Dissection d'une campagne de phishing de réseau Dissecting a NETWIRE Phishing Campaign\\'s Usage of Process Hollowing (lien direct) |
Introduction
Les auteurs de logiciels malveillants tentent d'échapper à la détection en exécutant leur charge utile sans avoir à écrire le fichier exécutable sur le disque.L'une des techniques les plus couramment vues de cette exécution "sans fil" est l'injection de code.Plutôt que d'exécuter directement les logiciels malveillants, les attaquants injectent le code de malware dans la mémoire d'un autre processus qui est déjà en cours d'exécution.
En raison de sa présence sur toutes les machines Windows 7 et ultérieures et le grand nombre de fonctionnalités prises en charge, PowerShell est un outil préféré des attaquants depuis un certain temps.Fireeye a publié plusieurs rapports où PowerShell était
Introduction Malware authors attempt to evade detection by executing their payload without having to write the executable file on the disk. One of the most commonly seen techniques of this "fileless" execution is code injection. Rather than executing the malware directly, attackers inject the malware code into the memory of another process that is already running. Due to its presence on all Windows 7 and later machines and the sheer number of supported features, PowerShell has been a favorite tool of attackers for some time. FireEye has published multiple reports where PowerShell was |
Malware Tool | ★★★ | |
|
2019-02-28 16:30:00 | Série de scripts Flare: récupération de stackstrings en utilisant l'émulation avec des irontrements FLARE Script Series: Recovering Stackstrings Using Emulation with ironstrings (lien direct) |
Cet article de blog poursuit notre série de scripts où l'équipe de la FireEye Labs Advanced Reverser Engineering (Flare) partage des outils pour aider la communauté d'analyse des logiciels malveillants.Aujourd'hui, nous publions ironstrings : Une nouvelle idapythonscript pour récupérer les stackstrings à partir de logiciels malveillants.Le script exploite l'émulation de code pour surmonter cette technique d'obscurcissement de la chaîne commune.Plus précisément, il utilise notre Outil, qui combine IDA Pro et le moteur d'émulation Unicorn.Dans cet article de blog, j'explique comment notre nouveau script utilise Flare-EMU pour récupérer les stackstrings à partir de logiciels malveillants.De plus, je discute de Flare-emu \'s Event Hooks
This blog post continues our Script Series where the FireEye Labs Advanced Reverse Engineering (FLARE) team shares tools to aid the malware analysis community. Today, we release ironstrings: a new IDAPython script to recover stackstrings from malware. The script leverages code emulation to overcome this common string obfuscation technique. More precisely, it makes use of our flare-emu tool, which combines IDA Pro and the Unicorn emulation engine. In this blog post, I explain how our new script uses flare-emu to recover stackstrings from malware. In addition, I discuss flare-emu\'s event hooks |
Malware Tool | ★★★★ | |
|
2019-01-24 16:00:00 | Contourner les restrictions du réseau via le tunneling RDP Bypassing Network Restrictions Through RDP Tunneling (lien direct) |
Remote Desktop Services est un composant de Microsoft Windows qui est utilisé par diverses entreprises pour la commodité qu'il propose des administrateurs de systèmes, des ingénieurs et des employés distants.D'un autre côté, les services de bureau à distance, et en particulier le protocole de bureau à distance (RDP), offre cette même commodité aux acteurs de la menace distante lors de compromis système ciblés.Lorsque les acteurs de menace sophistiqués établissent une implication et acquièrent de grandes informations d'identification de connexion, ils peuvent passer de la baie à l'utilisation de sessions RDP directes pour un accès à distance.Lorsque les logiciels malveillants sont retirés de l'équation, les intrusions deviennent
Remote Desktop Services is a component of Microsoft Windows that is used by various companies for the convenience it offers systems administrators, engineers and remote employees. On the other hand, Remote Desktop Services, and specifically the Remote Desktop Protocol (RDP), offers this same convenience to remote threat actors during targeted system compromises. When sophisticated threat actors establish a foothold and acquire ample logon credentials, they may switch from backdoors to using direct RDP sessions for remote access. When malware is removed from the equation, intrusions become |
Malware Threat | ★★★★ | |
|
2019-01-10 13:00:00 | Une astuce désagréable: des logiciels malveillants de vol d'identification aux perturbations de l'entreprise A Nasty Trick: From Credential Theft Malware to Business Disruption (lien direct) |
FireEye suit un ensemble d'activités motivées financières appelées Temp.Mixmaster qui implique le déploiement interactif de Ryuk Ransomware après des infections malveillantes TrickBot.Ces opérations sont actives depuis au moins décembre 2017, avec une augmentation notable dans la seconde moitié de 2018, et se sont avérées très réussies pour solliciter des paiements de rançon importants d'organisations victimes.Dans plusieurs incidents, plutôt que de s'appuyer uniquement sur les capacités de Trickbot intégrées, Temp.Mixmaster a utilisé des connexions Empire et RDP pour permettre le mouvement latéral dans les environnements victimes
FireEye is tracking a set of financially-motivated activity referred to as TEMP.MixMaster that involves the interactive deployment of Ryuk ransomware following TrickBot malware infections. These operations have been active since at least December 2017, with a notable uptick in the latter half of 2018, and have proven to be highly successful at soliciting large ransom payments from victim organizations. In multiple incidents, rather than relying solely on built-in TrickBot capabilities, TEMP.MixMaster used EMPIRE and RDP connections to enable lateral movement within victim environments |
Ransomware Malware | ★★★★ | |
|
2019-01-08 16:00:00 | Cireging the Past: Windows Registry Forensics Revisited Digging Up the Past: Windows Registry Forensics Revisited (lien direct) |
Introduction
Les consultants FireEye utilisent fréquemment les données du registre Windows lors de l'exécution de l'analyse médico-légale des réseaux informatiques dans le cadre des missions d'évaluation des incidents et de compromis.Cela peut être utile pour découvrir une activité malveillante et déterminer quelles données peuvent avoir été volées à un réseau.De nombreux types de données différents sont présents dans le registre qui peuvent fournir des preuves de l'exécution du programme, des paramètres d'application, de la persistance des logiciels malveillants et d'autres artefacts précieux.
L'analyse médico-légale des attaques passées peut être particulièrement difficile.Menace persistante avancée
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts. Performing forensic analysis of past attacks can be particularly challenging. Advanced persistent threat |
Malware Technical | ★★★★ | |
|
2018-12-21 19:00:00 | Rejeté: contenant un adversaire potentiellement destructeur OVERRULED: Containing a Potentially Destructive Adversary (lien direct) |
mise à jour (3 juillet 2019): Le 16 mai 2019, l'équipe Advanced Practices de Fireeye \\ a attribué la "activité APT33 présumée" (appelée GroupB dans cet article de blog) à APT33, opérantà la demande du gouvernement iranien.Les logiciels malveillants et les métiers de cet article de blog sont conformes aux Juin 2019 Campagne d'intrusion Les secteurs financiers, de vente au détail, des médias et de l'éducation & # 8211;ainsi que U.S.Cyber Command \'s Juillet 2019 CVE-2017-11774 Indicateurs , que Fireeye attribue également à APT33.Le processus rigoureux de FireEye \\ pour le regroupement et l'attribution de ce
UPDATE (Jul. 3, 2019): On May 16, 2019 FireEye\'s Advanced Practices team attributed the remaining "suspected APT33 activity" (referred to as GroupB in this blog post) to APT33, operating at the behest of the Iranian government. The malware and tradecraft in this blog post are consistent with the June 2019 intrusion campaign targeting U.S. federal government agencies and financial, retail, media, and education sectors – as well as U.S. Cyber Command\'s July 2019 CVE-2017-11774 indicators, which FireEye also attributes to APT33. FireEye\'s rigorous process for clustering and attributing this |
Malware | APT33 APT 33 APT 33 | ★★★★ |
|
2018-12-13 17:00:00 | Quels sont les réseaux de neurones profonds qui apprennent sur les logiciels malveillants? What are Deep Neural Networks Learning About Malware? (lien direct) |
Un nombre croissant de solutions antivirus modernes reposent sur des techniques d'apprentissage automatique (ML) pour protéger les utilisateurs contre les logiciels malveillants.Alors que les approches basées sur ML, comme la capacité de malveillance de FireEye Endpoint Security \\, ont fait un excellent travail pour détecter de nouvelles menaces, elles comportent également des coûts de développement substantiels.La création et la conservation d'un large ensemble de fonctionnalités utiles prennent beaucoup de temps et d'expertise des analystes de logiciels malveillants et des scientifiques des données (notez que dans ce contextepour distinguer les goodware et
An increasing number of modern antivirus solutions rely on machine learning (ML) techniques to protect users from malware. While ML-based approaches, like FireEye Endpoint Security\'s MalwareGuard capability, have done a great job at detecting new threats, they also come with substantial development costs. Creating and curating a large set of useful features takes significant amounts of time and expertise from malware analysts and data scientists (note that in this context a feature refers to a property or characteristic of the executable that can be used to distinguish between goodware and |
Malware | ★★★★ | |
|
2018-11-20 17:30:00 | Cmd et conquér: dé-dosfuscation avec flare-qdb Cmd and Conquer: De-DOSfuscation with flare-qdb (lien direct) |
Lorsque Daniel Bohannon a publié son excellent dosfusccation Papier, j'ai été fasciné de voir comment les astuces que j'ai utilisées en tant qu'ingénieur de systèmes pouvaient aider les attaquants à échapper à la détection.Je n'avais pas beaucoup à contribuer à cette conversation jusqu'à ce que je devais analyser un fichier de lots hideusement obscurci dans le cadre de mon travail sur la file d'attente de logiciels malveillants.
Auparavant, j'ai publié flare-qdb , qui est un débogueur de commande et python-scriptable basé sur Vivisect.J'ai précédemment a écrit .Flare-QDB a également fait une apparition dans Austin Baker et Jacob Christie \'s s
When Daniel Bohannon released his excellent DOSfuscation paper, I was fascinated to see how tricks I used as a systems engineer could help attackers evade detection. I didn\'t have much to contribute to this conversation until I had to analyze a hideously obfuscated batch file as part of my job on the FLARE malware queue. Previously, I released flare-qdb, which is a command-line and Python-scriptable debugger based on Vivisect. I previously wrote about how to use flare-qdb to instrument and modify malware behavior. Flare-qdb also made a guest appearance in Austin Baker and Jacob Christie\'s S |
Malware | ★★★★ | |
|
2018-11-14 20:00:00 | Mise à jour VM Flare FLARE VM Update (lien direct) |
Mise à jour (5 décembre 2022): La VM Flare a été mise à jour pour êtreplus ouvert et maintenable .
Flare VM est la première de son genre ingénierie de rétro-ingénierie et de distribution d'analyse des logiciels malveillants sur la plate-forme Windows.Puisque c'est Introduction En juillet 2017 , Flare VM a été constamment fiable et utilisée par de nombreux ingénieurs inverses, analystes de logiciels malveillants et chercheurs en sécurité comme environnement incontournable pour analyser les logiciels malveillants.Tout comme l'industrie de la sécurité en constante évolution, Flare VM a subi de nombreux changements majeurs pour mieux répondre aux besoins de nos utilisateurs.Flare VM a désormais un nouveau processus d'installation, de mise à niveau et de désinstallation
UPDATE (Dec. 5, 2022): FLARE VM has been updated to be more open and maintainable. FLARE VM is the first of its kind reverse engineering and malware analysis distribution on Windows platform. Since its introduction in July 2017, FLARE VM has been continuously trusted and used by many reverse engineers, malware analysts, and security researchers as their go-to environment for analyzing malware. Just like the ever-evolving security industry, FLARE VM has gone through many major changes to better support our users\' needs. FLARE VM now has a new installation, upgrade, and uninstallation process |
Malware | ★★★★ | |
|
2018-10-03 07:00:00 | APT38: Détails sur le nouveau groupe de menaces soutenu par le régime nord-coréen APT38: Details on New North Korean Regime-Backed Threat Group (lien direct) |
Aujourd'hui, nous publions des détails sur un un groupe avancé de menace persistante qui, selon nous, est responsable de la conduite d'un crime financierAu nom du régime nord-coréen, volant des millions de dollars aux banques dans le monde.Le groupe est particulièrement agressif;Ils utilisent régulièrement des logiciels malveillants destructeurs pour rendre les réseaux de victimes inopérables après le vol.Plus important encore, les efforts diplomatiques, y compris la récente plainte du ministère de la Justice (DOJ) qui ont décrit l'attribution à la Corée du Nord, n'ont jusqu'à présent pas mis fin à leur activité.Nous appelons ce groupe apt38.
nous publions un
Today, we are releasing details on a advanced persistent threat group that we believe is responsible for conducting financial crime on behalf of the North Korean regime, stealing millions of dollars from banks worldwide. The group is particularly aggressive; they regularly use destructive malware to render victim networks inoperable following theft. More importantly, diplomatic efforts, including the recent Department of Justice (DOJ) complaint that outlined attribution to North Korea, have thus far failed to put an end to their activity. We are calling this group APT38. We are releasing a |
Malware Threat | APT 38 APT 38 | ★★★★ |
|
2018-09-20 11:30:00 | Utilisation accrue d'un packer Delphi pour échapper à la classification des logiciels malveillants Increased Use of a Delphi Packer to Evade Malware Classification (lien direct) |
Introduction
Le concept de «emballage» ou de «crypter» un programme malveillant est très populaire parmi les acteurs de la menace qui cherchent à contourner ou à vaincre l'analyse par des outils d'analyse statique et dynamique.L'évasion de la classification et de la détection est une course aux armements dans laquelle les nouvelles techniques sont échangées et utilisées dans la nature.Par exemple, nous observons de nombreux services de rattachement offerts dans les forums souterrains par des acteurs qui prétendent faire des logiciels malveillants "FUD" ou "entièrement indétectables" par des technologies antivirus, des bacs de sable et d'autres solutions de point final.Nous constatons également un effort accru pour modéliser l'activité des utilisateurs normaux et le référence
Introduction The concept of "packing" or "crypting" a malicious program is widely popular among threat actors looking to bypass or defeat analysis by static and dynamic analysis tools. Evasion of classification and detection is an arms race in which new techniques are traded and used in the wild. For example, we observe many crypting services being offered in underground forums by actors who claim to make any malware "FUD" or "Fully Undetectable" by anti-virus technologies, sandboxes and other endpoint solutions. We also see an increased effort to model normal user activity and baseline it |
Malware Threat | ★★★★ | |
|
2018-07-31 08:01:01 | Malwareguard: modèle d'apprentissage automatique de Fireeye \\ pour détecter et prévenir les logiciels malveillants MalwareGuard: FireEye\\'s Machine Learning Model to Detect and Prevent Malware (lien direct) |
La mission de Fireeye \\ est de protéger sans relâche nos clients et leurs données avec une technologie et une expertise innovantes apprises des premières lignes des cyberattaques.Lorsqu'il s'agit de protéger les points de terminaison de notre client, Fireeye Endpoint Security a aidéPour créer le marché de la détection et de la réponse (EDR) (EDR) et est un leader de l'industrie.Au cours de la dernière année, nous avons considérablement élargi la portée de la sécurité des points de terminaison par Intégration de la protection anti-virus (AV) .La fonctionnalité AV a ajouté la prévention des logiciels malveillants à notre suite de détection existante, qui comprend le exploitguard Exploitguard Détection comportementale
FireEye\'s mission is to relentlessly protect our customers and their data with innovative technology and expertise learned from the front lines of cyber attacks. When it comes to protecting our customer\'s endpoints, FireEye Endpoint Security has helped to create the endpoint detection and response (EDR) market and is an industry leader. Over the past year, we have significantly broadened the scope of Endpoint Security by integrating anti-virus (AV) protection. The AV functionality added malware prevention to our existing detection suite, which includes the ExploitGuard behavioral detection |
Malware | ★★★★ | |
|
2018-06-07 09:00:00 | Un traité totalement tubulaire sur Triton et Tristation A Totally Tubular Treatise on TRITON and TriStation (lien direct) |
Introduction
En décembre 2017, Fireeye \'s mandiant a discuté d'une réponse incidente impliquant le framework .L'attaque de Triton et bon nombre des intrusions de CI sur les ICS impliquaient des techniques de routine où les acteurs de la menace n'utilisaient que ce qui est nécessaire pour réussir dans leur mission.Pour Industryer et Triton, les attaquants sont passés du réseau informatique vers le réseau OT (technologie opérationnelle) à travers des systèmes accessibles aux deux environnements.Bargades de logiciels malveillants traditionnels, distillats Mimikatz, sessions de bureau à distance et autres attaques bien documentées et facilement détectées
Introduction In December 2017, FireEye\'s Mandiant discussed an incident response involving the TRITON framework. The TRITON attack and many of the publicly discussed ICS intrusions involved routine techniques where the threat actors used only what is necessary to succeed in their mission. For both INDUSTROYER and TRITON, the attackers moved from the IT network to the OT (operational technology) network through systems that were accessible to both environments. Traditional malware backdoors, Mimikatz distillates, remote desktop sessions, and other well-documented, easily-detected attack |
Malware Threat Industrial | ★★★★ | |
|
2018-05-21 10:15:00 | Éclairer une lumière sur les abus d'oauth avec pwnauth Shining a Light on OAuth Abuse with PwnAuth (lien direct) |
Introduction
Les attaques de phishing de lance sont considérées comme l'une des plus grandes cyber-menaces d'une organisation.Il ne faut qu'un seul employé pour saisir ses informations d'identification ou exécuter des logiciels malveillants pour qu'une organisation entière soit compromise.En tant que telles, les entreprises consacrent des ressources importantes à la prévention de la récolte des diplômes et des attaques d'ingénierie sociale axées sur la charge utile.Moins d'attention, cependant, a été accordée à une méthode non traditionnelle, mais tout aussi dangereuse d'ingénierie sociale: l'abus d'Oauth.Dans une attaque Aauths Abuse, une victime autorise une demande de tiers pour accéder à leur compte.Une fois autorisé
Introduction Spear phishing attacks are seen as one of the biggest cyber threats to an organization. It only takes one employee to enter their credentials or run some malware for an entire organization to become compromised. As such, companies devote significant resources to preventing credential harvesting and payload-driven social engineering attacks. Less attention, however, has been paid to a non-traditional, but just as dangerous, method of social engineering: OAuth abuse. In an OAuth abuse attack, a victim authorizes a third-party application to access their account. Once authorized |
Malware Technical | ★★★★ | |
|
2018-04-23 10:00:00 | Chargement de code de coquille du noyau Loading Kernel Shellcode (lien direct) |
Dans le sillage des récents décharges d'outils de piratage, l'équipe Flare a vu un pic dans des échantillons de logiciels malveillants détonant le shellcode du noyau.Bien que la plupart des échantillons puissent être analysés statiquement, l'équipe Flare débogue parfois ces échantillons pour confirmer des fonctionnalités spécifiques.Le débogage peut être un moyen efficace de contourner l'emballage ou l'obscurcissement et d'identifier rapidement les structures, les routines système et les processus auxquels un échantillon de shellcode de noyau accéde.
Ce message commence une série centrée sur l'analyse des logiciels du noyau et présente un outil qui utilise un pilote de noyau Windows personnalisé pour charger et exécuter le noyau Windows
In the wake of recent hacking tool dumps, the FLARE team saw a spike in malware samples detonating kernel shellcode. Although most samples can be analyzed statically, the FLARE team sometimes debugs these samples to confirm specific functionality. Debugging can be an efficient way to get around packing or obfuscation and quickly identify the structures, system routines, and processes that a kernel shellcode sample is accessing. This post begins a series centered on kernel software analysis, and introduces a tool that uses a custom Windows kernel driver to load and execute Windows kernel |
Malware Tool Technical | ★★★★ | |
|
2018-02-20 13:30:00 | APT37 (Reaper): l'acteur nord-coréen négligé APT37 (Reaper): The Overlooked North Korean Actor (lien direct) |
Le 2 février 2018, nous avons publié un Blog détaillant l'utilisation d'une vulnérabilité Adobe Flash Zero-Day (CVE-2018-4878) par un groupe de cyber-espionnage nord-coréen présumé que nous suivons maintenant comme APT37 (Reaper).
Notre analyse de l'activité récente d'APT37 \\ révèle que les opérations du groupe \\ se développent en portée et en sophistication, avec un ensemble d'outils qui comprend l'accès aux vulnérabilités zéro-jour et aux logiciels malveillants d'essuie-glace.Nous évaluons avec une grande confiance que cette activité est réalisée au nom du gouvernement nord-coréen compte tenu des artefacts de développement de logiciels malveillants et ciblant qui s'aligne sur l'État nord-coréen
On Feb. 2, 2018, we published a blog detailing the use of an Adobe Flash zero-day vulnerability (CVE-2018-4878) by a suspected North Korean cyber espionage group that we now track as APT37 (Reaper). Our analysis of APT37\'s recent activity reveals that the group\'s operations are expanding in scope and sophistication, with a toolset that includes access to zero-day vulnerabilities and wiper malware. We assess with high confidence that this activity is carried out on behalf of the North Korean government given malware development artifacts and targeting that aligns with North Korean state |
Malware Vulnerability | APT 37 APT 37 | ★★★★ |
|
2018-01-04 16:30:00 | Débogage de logiciels malveillants complexes qui exécutent du code sur le tas Debugging Complex Malware that Executes Code on the Heap (lien direct) |
Introduction
Dans ce blog, je partagerai une simple tactique de débogage pour créer des «points de sauvegarde» lors du débogage à distance itératif d'échantillons à plusieurs étages complexes qui exécutent du code dans la mémoire du tas à des adresses non déterministes.Je partagerai deux exemples: l'un artificiel, et l'autre un échantillon de logiciel malveillant modulaire complexe (MD5 Hash: 830A09FF05EAC9A5F42897BA5176A36A) d'une famille que nous appelons PoisonPlug.Je me concentrerai sur IDA Pro et Windbg, mais j'expliquerai comment réaliser le même effet avec d'autres outils.Avec cette tactique, vous pouvez également remettre l'exécution du programme entre plusieurs débuggeurs en utilisant
Introduction In this blog, I will share a simple debugging tactic for creating “save points” during iterative remote debugging of complex multi-stage samples that execute code in heap memory at non-deterministic addresses. I\'ll share two examples: one contrived, and the other a complex, modular malware sample (MD5 hash: 830a09ff05eac9a5f42897ba5176a36a) from a family that we call POISONPLUG. I will focus on IDA Pro and WinDbg, but I\'ll explain how to achieve the same effect with other tools as well. With this tactic, you can also hand off program execution between multiple debuggers using |
Malware Tool Technical | ★★★★ | |
|
2017-12-14 15:00:00 | Les attaquants déploient un nouveau cadre d'attaque ICS «Triton» et provoquent une perturbation opérationnelle des infrastructures critiques Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure (lien direct) |
Introduction
mandiant a récemment répondu à un incident dans une organisation d'infrastructure critique où un attaquant a déployé des logiciels malveillants conçus pour manipuler les systèmes de sécurité industrielle.Les systèmes ciblés ont fourni une capacité d'arrêt d'urgence pour les processus industriels.Nous évaluons avec une confiance modérée que l'attaquant développait la capacité de causer des dommages physiques et des opérations d'arrêt par inadvertance.Ce logiciel malveillant, que nous appelons Triton, est un cadre d'attaque conçu pour interagir avec les contrôleurs de système instrumentés de sécurité Triconex (SIS).Nous n'avons pas attribué l'incident à un
Introduction Mandiant recently responded to an incident at a critical infrastructure organization where an attacker deployed malware designed to manipulate industrial safety systems. The targeted systems provided emergency shutdown capability for industrial processes. We assess with moderate confidence that the attacker was developing the capability to cause physical damage and inadvertently shutdown operations. This malware, which we call TRITON, is an attack framework built to interact with Triconex Safety Instrumented System (SIS) controllers. We have not attributed the incident to a |
Malware Industrial Technical | ★★★★ | |
|
2017-12-04 15:00:00 | Reconnaître et éviter les ordures démontées Recognizing and Avoiding Disassembled Junk (lien direct) |
Il y a une gêne commune qui semble affliger chaque ingénieur à la recherche et un répondeur incident à un moment donné de leur carrière: perdre du temps ou de l'énergie en regardant le code indésirable.Le code indésirable est une séquence d'octets que vous avez démontés qui ne sont pas des instructions réelles exécutées dans le cadre d'un programme.En plus de perdre du temps, j'ai vu les gens s'alarmer et excités par le code indésirable qu'ils ont trouvé.Dans ces cas, c'est parce qu'ils ont trouvé du code exécutable dans un endroit où ils ne s'attendaient pas, ce qui les a amenés à croire qu'ils avaient trouvé un échantillon de logiciel malveillant avancé.
Dans cet article, je vais
There is a common annoyance that seems to plague every reverse engineer and incident responder at some point in their career: wasting time or energy looking at junk code. Junk code is a sequence of bytes that you have disassembled that are not actual instructions executed as part of a program. In addition to wasting time, I\'ve seen people get alarmed and excited by the junk code they\'ve found. In these cases, it is because they found executable code in a place they weren\'t expecting, which led them to believe they had found an exploit or an advanced malware specimen. In this post, I will |
Malware | ★★★ |
To see everything:
Our RSS (filtrered)
