What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2017-10-05 09:30:00 | Des campagnes de distribution de formulaires importantes ont un impact sur les États-Unis et la Corée du Sud Significant FormBook Distribution Campaigns Impacting the U.S. and South Korea (lien direct) |
Nous avons observé plusieurs campagnes de distribution de logiciels malveillants de Formbook à volume élevé qui visaient principalement les secteurs de l'aérospatiale, de la défense et de la fabrication aux États-Unis et en Corée du Sud au cours des derniers mois.Les attaquants impliqués dans ces campagnes de courrier électronique ont mis à profit une variété de mécanismes de distribution pour fournir les informations sur le malware du formateur de formulaire, y compris:
PDFS avec liens de téléchargement
Fichiers Doc et XLS avec des macros malveillants
Les fichiers d'archives (Zip, Rar, Ace et ISO) contenant des charges utiles EXE
Les campagnes PDF et DOC / XLS ont principalement eu un impact sur les États-Unis et les archives
We observed several high-volume FormBook malware distribution campaigns primarily taking aim at Aerospace, Defense Contractor, and Manufacturing sectors within the U.S. and South Korea during the past few months. The attackers involved in these email campaigns leveraged a variety of distribution mechanisms to deliver the information stealing FormBook malware, including: PDFs with download links DOC and XLS files with malicious macros Archive files (ZIP, RAR, ACE, and ISOs) containing EXE payloads The PDF and DOC/XLS campaigns primarily impacted the United States and the Archive |
Malware | ★★★★ | |
|
2017-09-20 09:00:00 | Aperçu du cyber-espionnage iranien: APT33 cible les secteurs de l'aérospatiale et de l'énergie et a des liens avec des logiciels malveillants destructeurs Insights into Iranian Cyber Espionage: APT33 Targets Aerospace and Energy Sectors and has Ties to Destructive Malware (lien direct) |
Lorsque vous discutez des groupes de pirates suspects du Moyen-Orient avec des capacités destructrices, beaucoup pensent automatiquement à la Groupe iranien présumé qui utilisait auparavant Shamoon & # 8211;AKA distrtrack & # 8211;pour cibler les organisations dans le golfe Persique.Cependant, au cours des dernières années, nous avons suivi un groupe iranien suspect séparé et moins largement connu avec des capacités destructrices potentielles, que nous appelons APT33.Notre analyse révèle que l'APT33 est un groupe capable qui a effectué des opérations de cyber-espionnage depuis au moins 2013. Nous évaluons les œuvres APT33 à la demande du gouvernement iranien.
récent
When discussing suspected Middle Eastern hacker groups with destructive capabilities, many automatically think of the suspected Iranian group that previously used SHAMOON – aka Disttrack – to target organizations in the Persian Gulf. However, over the past few years, we have been tracking a separate, less widely known suspected Iranian group with potential destructive capabilities, whom we call APT33. Our analysis reveals that APT33 is a capable group that has carried out cyber espionage operations since at least 2013. We assess APT33 works at the behest of the Iranian government. Recent |
Malware | APT33 APT 33 APT 33 | ★★★★ |
|
2017-07-28 08:01:01 | Revoke-Obfuscation: PowerShell Obfuscation Detection Using Science (lien direct) | De nombreux attaquants continuent de tirer parti de PowerShell dans le cadre de leur écosystème de logiciels malveillants, principalement livré et exécuté par des binaires et des documents malveillants.De malware qui utilise PowerShell, l'utilisation la plus répandue est le stagers de la variété de jardin: une macro exécutable ou document qui lance PowerShell pour télécharger un autre exécutable et l'exécuter.Il y a eu un développement et une innovation significatifs dans le domaine des techniques offensives PowerShell.Alors que les défenseurs et les produits ont mis en œuvre plus grande visibilité du PowerShell et une détection améliorée, le PowerShell offensifLa communauté a adapté leurs outils
Many attackers continue to leverage PowerShell as a part of their malware ecosystem, mostly delivered and executed by malicious binaries and documents. Of malware that uses PowerShell, the most prevalent use is the garden-variety stager: an executable or document macro that launches PowerShell to download another executable and run it. There has been significant development and innovation in the field of offensive PowerShell techniques. While defenders and products have implemented greater PowerShell visibility and improved detection, the offensive PowerShell community has adapted their tools |
Malware | ★★★ | |
|
2017-07-26 11:31:00 | VM Flare: la distribution d'analyse de logiciels malveillants Windows dont vous avez toujours besoin! FLARE VM: The Windows Malware Analysis Distribution You\\'ve Always Needed! (lien direct) |
Mise à jour 3 (5 décembre 2022): La VM Flare a été Mise à jour àêtre plus ouvert et maintenable .
Mise à jour 2 (14 novembre 2018): VM Flare a maintenant un Nouveau processus d'installation, de mise à niveau et de désinstallation , et comprend également de nombreux nouveaux outils tels que IDA 7.0, Radare et Yara.
mise à jour (26 avril 2018): La méthode d'installation Web pour déployer Flare VM est désormais obsolète.Veuillez vous référer à la Readme sur la VM Github le plus à la dateinstructions d'installation.
En tant qu'ingénieur à la recherche de l'équipe Flare, je compte sur une machine virtuelle (VM) personnalisée pour effectuer Analyse des logiciels malveillants .La machine virtuelle est un Windows
UPDATE 3 (Dec. 5, 2022): FLARE VM has been updated to be more open and maintainable. UPDATE 2 (Nov. 14, 2018): FLARE VM now has a new installation, upgrade, and uninstallation process, and also includes many new tools such as IDA 7.0, radare and YARA. UPDATE (April 26, 2018): The web installer method to deploy FLARE VM is now deprecated. Please refer to the README on the FLARE VM GitHub for the most up-to-date installation instructions. As a reverse engineer on the FLARE Team I rely on a customized Virtual Machine (VM) to perform malware analysis. The Virtual Machine is a Windows |
Malware Tool | ★★★★ | |
|
2017-07-25 12:00:00 | Hawkeye Indenceal Vol Volwware Distribué dans une récente campagne de phishing HawkEye Credential Theft Malware Distributed in Recent Phishing Campaign (lien direct) |
Une grande variété d'acteurs de menaces ont commencé à distribuer des logiciels malveillants à Hawkeye par le biais de campagnes de courrier électronique à haut volume après avoir été disponible à l'achat via un site Web orienté public.Les acteurs derrière les campagnes de phishing utilisaient généralement des thèmes d'e-mails sur la base des événements actuels et des rapports de médias qui piqueraient les intérêts des utilisateurs, la ligne «sujet» contenant généralement quelque chose sur les nouvelles récentes.Bien que Hawkeye Malware ait plusieurs capacités différentes, elle est le plus souvent associée au vol d'identification.
À la mi-juin, nous avons observé une campagne de phishing impliquant la distribution Hawkeye
A wide variety of threat actors began distributing HawkEye malware through high-volume email campaigns after it became available for purchase via a public-facing website. The actors behind the phishing campaigns typically used email themes based on current events and media reports that would pique user interests, with the “Subject” line typically containing something about recent news. Although HawkEye malware has several different capabilities, it is most often associated with credential theft. In the middle of June, we observed a phishing campaign involving the distribution HawkEye |
Malware Threat | ★★★★ | |
|
2017-07-05 10:00:00 | Présentation de la prise en charge de Linux pour Fakennet-NG: outil d'analyse de réseau dynamique de Next Generation de Flare \\ Introducing Linux Support for FakeNet-NG: FLARE\\'s Next Generation Dynamic Network Analysis Tool (lien direct) |
Introduction
En 2016, Flare a présenté FAKENET-NG , un ouvert-Source Outil d'analyse de réseau écrite en python.Fakennet-NG permet aux analystes de sécurité d'observer et d'interagir avec les applications réseau à l'aide de protocoles standard ou personnalisés sur un seul hôte Windows, ce qui est particulièrement utile pour l'analyse des logiciels malveillants et l'ingénierie inverse.Depuis la version de Fakennet-NG \\, Flare a ajouté le support pour des protocoles supplémentaires.Fakennet-ng a maintenant une prise en charge prête à l'emploi pour DNS, HTTP (y compris les bits), FTP, TFTP, IRC, SMTP, POP, TCP et UDP ainsi que SSL.
En s'appuyant sur ce travail, Flare a maintenant amené Fakennet-NG à
Introduction In 2016, FLARE introduced FakeNet-NG, an open-source network analysis tool written in Python. FakeNet-NG allows security analysts to observe and interact with network applications using standard or custom protocols on a single Windows host, which is especially useful for malware analysis and reverse engineering. Since FakeNet-NG\'s release, FLARE has added support for additional protocols. FakeNet-NG now has out-of-the-box support for DNS, HTTP (including BITS), FTP, TFTP, IRC, SMTP, POP, TCP, and UDP as well as SSL. Building on this work, FLARE has now brought FakeNet-NG to |
Malware Tool Technical | ★★★★ | |
|
2017-06-27 08:01:01 | Petya Variante de logiciels malveillants destructive Spreading via des informations d'identification volées et Eternalblue Exploit Petya Destructive Malware Variant Spreading via Stolen Credentials and EternalBlue Exploit (lien direct) |
mise à jour (21 juillet): Fireeye continue de suivre cette menace.Une version antérieure de cet article a été mise à jour pour refléter de nouvelles résultats.
Le 27 juin 2017, plusieurs organisations & # 8211;beaucoup en Europe & # 8211; perturbations importantes variante du ransomware Petya, que nous appelons «EternalPetya».Le malware a été initialement distribué via un système de mise à jour logiciel compromis, puis auto-copier via des informations d'identification volées et des exploits SMB, y compris le eternalblue exploit utilisé dans le Wannacry Attaque de mai 2017.
le vecteur d'infection initial pour ce
UPDATE (July 21): FireEye continues to track this threat. An earlier version of this post has been updated to reflect new findings. On June 27, 2017, multiple organizations – many in Europe – reported significant disruptions they are attributing to a variant of the Petya ransomware, which we are calling “EternalPetya”. The malware was initially distributed through a compromised software update system and then self-propagated through stolen credentials and SMB exploits, including the EternalBlue exploit used in the WannaCry attack from May 2017. The initial infection vector for this |
Malware | Wannacry | ★★★★ |
|
2017-05-23 12:30:00 | Profil de logiciel malveillant Wannacry WannaCry Malware Profile (lien direct) |
MALWARE WANNACRY (également connu sous le nom de WCRY ou WANACRYPTOR) est un ransomware d'auto-propagation (semblable à des vers) qui se propage dans les réseaux internes et sur Internet public en exploitant une vulnérabilité dans le bloc de messages du serveur de Microsoft \\ (SMB)Protocole, MS17-010.Le wannacry se compose de deux composants distincts, unqui fournit des fonctionnalités de ransomware et un composant utilisé pour la propagation, qui contient des fonctionnalités pour permettre les capacités d'exploitation des SMB.
Le malware exploite un exploit, nommé «EternalBlue», publié par les Shadow Brokers le 14 avril 2017.
le
WannaCry (also known as WCry or WanaCryptor) malware is a self-propagating (worm-like) ransomware that spreads through internal networks and over the public internet by exploiting a vulnerability in Microsoft\'s Server Message Block (SMB) protocol, MS17-010. The WannaCry malware consists of two distinct components, one that provides ransomware functionality and a component used for propagation, which contains functionality to enable SMB exploitation capabilities. The malware leverages an exploit, codenamed “EternalBlue”, that was released by the Shadow Brokers on April 14, 2017. The |
Ransomware Malware Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-15 08:01:01 | Campagne de ransomwares Wannacry: Détails de la menace et gestion des risques WannaCry Ransomware Campaign: Threat Details and Risk Management (lien direct) |
Mise à jour 3 (17 mai & # 8211; 19 h 00 HE)
Nous avons observé l'émergence d'une nouvelle variante de Wannacry avec l'URL de vérification Internet www.iffferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Test.Un bogue dans la logique de code fait que les logiciels malveillants interrogent réellement www.iffefsodp9ifjaposdfjhgosurijfaewrwergwea [.] Test.Le malware ne cryptera vos fichiers que s'il ne peut pas contacter ce domaine (en particulier, s'il ne peut pas faire une demande HTTP réussie à la résolution du domaine).Les chercheurs en sécurité ont pu enregistrer ces domaines «Killswitch» pour les variantes précédentes pour arrêter le chiffrement;Cependant, ce domaine particulier
UPDATE 3 (May 17 – 7:00 p.m. ET) We observed the emergence of a new WannaCry variant with the internet-check URL www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]testing. A bug in the code logic causes the malware to actually query www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]test. The malware will encrypt your files only if it cannot contact this domain (specifically, if it cannot make a successful HTTP request to the resolution of the domain). Security researchers were able to register these “killswitch” domains for previous variants to stop encryption; however, this particular domain |
Ransomware Malware Threat | Wannacry | ★★★ |
|
2017-04-12 08:01:01 | CVE-2017-0199 Utilisé comme un jour zéro pour distribuer des logiciels malveillants d'espionnage Finspy et les logiciels malveillants de la cyber-crime latententbot CVE-2017-0199 Used as Zero Day to Distribute FINSPY Espionage Malware and LATENTBOT Cyber Crime Malware (lien direct) |
Fireeye a récemment identifié une vulnérabilité & # 8211;CVE-2017-0199 & # 8211;Cela permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document Microsoft Office RTF contenant un exploit intégré.Nous avons travaillé avec Microsoft et Dès qu'un patch a été mis à disposition.
Dans ce post de suivi, nous discutons de certaines des campagnes que nous avons observées en tirant parti du CVE-2017-0199 zéro-jour à l'époque, des semaines et des mois précédant la publication du patch.
CVE-2017-0199 Utilisé par plusieurs acteurs
fir
FireEye recently identified a vulnerability – CVE-2017-0199 – that allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a Microsoft Office RTF document containing an embedded exploit. We worked with Microsoft and published the technical details of this vulnerability as soon as a patch was made available. In this follow-up post, we discuss some of the campaigns we observed leveraging the CVE-2017-0199 zero-day in the days, weeks and months leading up to the patch being released. CVE-2017-0199 Used by Multiple Actors Fir |
Malware Vulnerability | ★★★★ | |
|
2017-04-11 12:30:00 | CVE-2017-0199: Dans les attaques sauvages, tirant parti du gestionnaire HTA CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler (lien direct) |
Fireeye a récemment détecté des documents malveillants Microsoft Office RTF qui tirent parti de CVE-2017-0199, une vulnérabilité auparavant non divulguée.Cette vulnérabilité permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document contenant un exploit intégré.FireEye a observé des documents de bureau exploitant le CVE-2017-0199 qui téléchargent et exécutent des charges utiles de logiciels malveillants de différentes familles de logiciels malveillants bien connus.
Fireeye a partagé les détails de la vulnérabilité avec Microsoft et a coordonné la divulgation publique chronométrée avec la version
FireEye recently detected malicious Microsoft Office RTF documents that leverage CVE-2017-0199, a previously undisclosed vulnerability. This vulnerability allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a document containing an embedded exploit. FireEye has observed Office documents exploiting CVE-2017-0199 that download and execute malware payloads from different well-known malware families. FireEye shared the details of the vulnerability with Microsoft and has been coordinating public disclosure timed with the release |
Malware Vulnerability Technical | ★★★★ | |
|
2017-03-31 09:15:00 | Présentation du moniteur.app pour macOS Introducing Monitor.app for macOS (lien direct) |
Mise à jour 2 (24 octobre 2018): Monitor.App prend maintenant en charge MacOS 10.14 .
mise à jour (4 avril 2018): Monitor.app prend maintenant en charge MacOS 10.13.
En tant qu'analyste de logiciels malveillants ou programmeur de systèmes, avoir une suite d'outils d'analyse dynamique solides est vital pour être rapide et efficace.Ces outils nous permettent de comprendre les capacités de logiciels malveillants et les composants sans papiers du système d'exploitation.Un outil évident qui me vient à l'esprit est procmon de la légendaire Sysinternals Suite de Microsoft.Ces outils ne fonctionnent que sur Windows et nous aimons macOS.
macOS possède un logiciel d'instrumentation dynamique fantastique
UPDATE 2 (Oct. 24, 2018): Monitor.app now supports macOS 10.14. UPDATE (April 4, 2018): Monitor.app now supports macOS 10.13. As a malware analyst or systems programmer, having a suite of solid dynamic analysis tools is vital to being quick and effective. These tools enable us to understand malware capabilities and undocumented components of the operating system. One obvious tool that comes to mind is Procmon from the legendary Sysinternals Suite from Microsoft. Those tools only work on Windows though and we love macOS. macOS has some fantastic dynamic instrumentation software |
Malware Tool | ★★★★ | |
|
2017-03-15 08:01:01 | Toujours servir: un aperçu des campagnes de malvertising récentes impliquant des kits d'exploitation Still Getting Served: A Look at Recent Malvertising Campaigns Involving Exploit Kits (lien direct) |
Malvertising se produit lorsqu'un réseau de publicité en ligne sert sciemment ou inconsciemment des publicités malveillantes sur un site Web. MALVERTISEMENTS Sont un type de menace «drive-by» qui a tendance à entraîner l'infecté des utilisateurs par des logiciels malveillants pour avoir simplement visité un site Web.Les victimes de cette menace sont souvent compromises lorsque le malvertisment les dirige vers une page de destination du kit d'exploitation (EK).Selon les applications exécutées sur le système de l'utilisateur \\, l'EK peut charger avec succès des logiciels malveillants dans un système sans consentement de l'utilisateur et sans faire basculer la victime que quelque chose de suspect se produit.
il
Malvertising occurs when an online advertising network knowingly or unknowingly serves up malicious advertisements on a website. Malvertisements are a type of “drive-by” threat that tend to result in users being infected with malware for simply visiting a website. The victims of this threat are often compromised when the malvertisement directs them to an exploit kit (EK) landing page. Depending on the applications running on the user\'s system, the EK can successfully load malware into a system without user consent and without tipping the victim off that something suspicious is happening. It |
Malware Threat | ★★★ | |
|
2017-03-08 17:15:00 | Introduction aux applications de cacao en ingénierie inverse Introduction to Reverse Engineering Cocoa Applications (lien direct) |
Bien que cela ne soit pas aussi courant que Windows Malware, un flux constant de logiciels malveillants a été découvert au fil des ans qui s'exécute sur le système d'exploitation OS X, désormais rebaptisé MacOS.Février a vu trois publications particulièrement intéressantes sur le thème des logiciels malveillants MacOS: un application de cacao de trojan qui envoie des informations systèmey compris les données de trousseau à l'attaquant, un version macOS d'APT28\'s xagent malware , et un new-trojan ransomware .
Dans ce blog, l'équipe Flare souhaite introduire deux petits outils qui peuvent aider à la tâche des applications de cacao en ingénierie inverse pour MacOS.Afin de
While not as common as Windows malware, there has been a steady stream of malware discovered over the years that runs on the OS X operating system, now rebranded as macOS. February saw three particularly interesting publications on the topic of macOS malware: a Trojan Cocoa application that sends system information including keychain data back to the attacker, a macOS version of APT28\'s Xagent malware, and a new Trojan ransomware. In this blog, the FLARE team would like to introduce two small tools that can aid in the task of reverse engineering Cocoa applications for macOS. In order to |
Malware Tool | APT 28 | ★★★★ |
|
2017-01-11 13:45:00 | Nouvelle variante du malware Ploutus ATM observé dans la nature en Amérique latine New Variant of Ploutus ATM Malware Observed in the Wild in Latin America (lien direct) |
Introduction Pouttus est l'une des familles de malware ATM les plus avancées que nous avons vues ces dernières années.Découvert pour le Première fois au Mexique En 2013, Ploutus a permis aux criminels de vider des distributeurs automatiques de billets en utilisant un clavier externe attaché à la machine ou | Malware Technical | ★★★★ | |
|
2017-01-04 13:01:01 | Série de scripts Flare: Interrogation à l'état dynamique à l'aide du débogueur axé sur les requêtes FireEye Labs (Flare-QDB) FLARE Script Series: Querying Dynamic State using the FireEye Labs Query-Oriented Debugger (flare-qdb) (lien direct) |
Introduction
Ce post continue la série de script Advanced Reverse Engineering (Flare) Labs FireEye Labs.Ici, nous introduisons Flare-QDB, un utilitaire de ligne de commande et un module Python basé sur Vivisect pour interroger et modifier l'état binaire dynamique de manière pratique, itérative et à grande échelle.Flare-QDB fonctionne sur Windows et Linux, et peut être obtenu à partir de la Projet GitHub Flare-QDB .
motivation
Comprendre efficacement les logiciels malveillants complexes ou obscurcis implique fréquemment le débogage.Souvent, le processus linéaire de suivi du compteur du programme soulève des questions sur les états de registre parallèle ou précédents
Introduction This post continues the FireEye Labs Advanced Reverse Engineering (FLARE) script series. Here, we introduce flare-qdb, a command-line utility and Python module based on vivisect for querying and altering dynamic binary state conveniently, iteratively, and at scale. flare-qdb works on Windows and Linux, and can be obtained from the flare-qdb github project. Motivation Efficiently understanding complex or obfuscated malware frequently entails debugging. Often, the linear process of following the program counter raises questions about parallel or previous register states |
Malware | ★★★ | |
|
2016-12-01 13:01:01 | Fireeye répond à une vague de cyberattaques destructrices dans la région du Golfe FireEye Responds to Wave of Destructive Cyber Attacks in Gulf Region (lien direct) |
En 2012, un groupe de pirates iranien présumé appelé «Cutting Sword of Justice» a utilisé des logiciels malveillants connus sous le nom de Shamoon & # 8211;ou disttrack.À la mi-novembre, Mandiant, une entreprise de Fireeye, a répondu au premier incident Shamoon 2.0 contre une organisation située dans les États du Golfe.Depuis lors, Mandiant a répondu à plusieurs incidents dans d'autres organisations de la région.
Shamoon 2.0 est une version retravaillée et mise à jour du malware que nous avons vu lors de l'incident de 2012.L'analyse montre que les logiciels malveillants contient des informations d'identification intégrées, ce qui suggère que les attaquants peuvent avoir déjà effectué des intrusions ciblées à
In 2012, a suspected Iranian hacker group called the “Cutting Sword of Justice” used malware known as Shamoon – or Disttrack. In mid-November, Mandiant, a FireEye company, responded to the first Shamoon 2.0 incident against an organization located in the Gulf states. Since then, Mandiant has responded to multiple incidents at other organizations in the region. Shamoon 2.0 is a reworked and updated version of the malware we saw in the 2012 incident. Analysis shows the malware contains embedded credentials, which suggests the attackers may have previously conducted targeted intrusions to |
Malware | ★★★ | |
|
2016-09-23 09:30:00 | Hancitor (alias Chanitor) a observé en utilisant plusieurs approches d'attaque Hancitor (AKA Chanitor) observed using multiple attack approaches (lien direct) |
De nombreux acteurs de menace utilisent plusieurs vecteurs d'attaque pour assurer le succès.Les individus utilisant des logiciels malveillants Hancitor (également connus sous le nom de Chanitor) ne font pas exception et ont adopté trois approches pour livrer le malware afin de voler finalement des données à leurs victimes.Ces techniques incluent des méthodes peu commissaires sur les abus et le powerShell API.
Nous avons récemment observé des attaques de Hancitor contre certains de nos clients de garde d'exploits Fireeye.Le document malveillant utilisé pour livrer l'exécutable Hancitor a été observé distribué comme pièce jointe dans le spam de courrier électronique.Une fois téléchargé et exécuté, il laisse tomber un
Many threat actors use multiple attack vectors to ensure success. The individuals using Hancitor malware (also known by the name Chanitor) are no exception and have taken three approaches to deliver the malware in order to ultimately steal data from their victims. These techniques include uncommon API abuse and PowerShell methods. We recently observed Hancitor attacks against some of our FireEye Exploit Guard customers. The malicious document used to deliver the Hancitor executable was observed being distributed as an attachment in email spam. Once downloaded and executed, it drops an |
Malware Threat Technical | ★★★★ | |
|
2016-08-03 03:30:00 | FAKENET-NG: outil d'analyse de réseau dynamique de prochaine génération FakeNet-NG: Next Generation Dynamic Network Analysis Tool (lien direct) |
En tant qu'équipe insensée dans l'équipe Flare (Fireeye Labs Advanced Inverse Engineering), j'effectue régulièrement une analyse dynamique de base des échantillons de logiciels malveillants.L'objectif est d'observer rapidement les caractéristiques d'exécution en exécutant des binaires dans un environnement sûr.Une tâche importante lors de l'analyse dynamique consiste à imiter l'environnement réseau et à inciter les logiciels malveillants à penser qu'il est connecté à Internet.Une fois bien fait, le logiciel malveillant révèle ses signatures de réseau telles que les noms de domaine de commande et de contrôle (C2), les chaînes d'agent utilisateur, les URL interrogées, etc.
Un outil de choix est Fakennet.Dans ce blog, je
As a reverse engineer on the FLARE (FireEye Labs Advanced Reverse Engineering) team, I regularly perform basic dynamic analysis of malware samples. The goal is to quickly observe runtime characteristics by running binaries in a safe environment. One important task during dynamic analysis is to emulate the network environment and trick the malware into thinking it is connected to the Internet. When done right, the malware reveals its network signatures such as command and control (C2) domain names, User-Agent strings, URLs queried, and so on. One tool of choice is FakeNet. In this blog, I |
Malware Tool Technical | ★★★★ | |
|
2016-06-28 04:00:00 | La dernière diffusion malveillante de superposition Android se propage via le phishing SMS en Europe The Latest Android Overlay Malware Spreading via SMS Phishing in Europe (lien direct) |
Introduction
En avril 2016, tout en enquêtant sur une campagne de smirs surnommée RUMMS qui impliquait le ciblage des utilisateurs d'Android en Russie, nous avons également remarqué trois campagnes de smirs similaires qui se seraient répandues au Danemark (février 2016), en Italie (février 2016), et dans les deuxDanemark et Italie (avril 2016).
Contrairement à la campagne Rumms, ces trois campagnes en Europe ont utilisé des techniques de superposition de vue (la même technique que nous avons décrite être utilisée par Slembunk Malware) pour présenter des internes d'entrée d'identification presque identiques comme le montrent les applications bénigne
Introduction In April 2016, while investigating a Smishing campaign dubbed RuMMS that involved the targeting of Android users in Russia, we also noticed three similar Smishing campaigns reportedly spreading in Denmark (February 2016), in Italy (February 2016), and in both Denmark and Italy (April 2016). Unlike the RuMMS campaign, these three campaigns in Europe used view overlay techniques (the same technique we described being used by SlemBunk malware) to present nearly identical credential input UIs as seen in benign apps, subsequently tricking unwary users into providing their banking |
Malware Technical | ★★★★ | |
|
2016-06-23 08:00:00 | Extraction automatique des chaînes obscurcies des logiciels malveillants à l'aide du solveur de chaîne obscurci de FireEye Labs (fil de fil) Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) (lien direct) |
Introduction et motivation
Avez-vous déjà exécuté Strings.exe sur un exécutable malware et sa sortie vous a fourni des adresses IP, des noms de fichiers, des clés de registre et d'autres indicateurs de compromis (IOC)?Super!Pas besoin d'exécuter une analyse plus approfondie ou d'embaucher des experts coûteux pour déterminer si un fichier est malveillant, son utilisation prévue et comment trouver d'autres cas.Malheureusement, les auteurs de logiciels malveillants ont compris et essaient de dissuader votre analyse.Bien que ces auteurs essaient de protéger leurs exécutables, nous vous apprendrons à utiliser le solveur de cordes obscurci de FireEye Labs pour récupérer sensible
Introduction and Motivation Have you ever run strings.exe on a malware executable and its output provided you with IP addresses, file names, registry keys, and other indicators of compromise (IOCs)? Great! No need to run further analysis or hire expensive experts to determine if a file is malicious, its intended usage, and how to find other instances. Unfortunately, malware authors have caught on and are trying to deter your analysis. Although these authors try to protect their executables, we will teach you to use the FireEye Labs Obfuscated Strings Solver (FLOSS) to recover sensitive |
Malware Technical | ★★★★ | |
|
2016-06-02 09:00:00 | Irongate ics malware: rien à voir ici ... masquer l'activité malveillante sur les systèmes SCADA IRONGATE ICS Malware: Nothing to See Here...Masking Malicious Activity on SCADA Systems (lien direct) |
Dans la seconde moitié de 2015, l'équipe Flare a identifié plusieurs versions d'un logiciel malveillant axé sur les CI ICS fabriqué pour manipuler un processus industriel spécifique exécutant dans un environnement de système de contrôle Siemens simulé.Nous avons nommé cette famille de logiciels malveillants irongate.
Flare a trouvé les échantillons sur Virustotal lors de la recherche de gouttes compilés avec Pyinstaller - une approche utilisée par de nombreux acteurs malveillants.Les échantillons irongés se sont démarqués en fonction de leurs références à SCADA et aux fonctionnalités associées.Deux échantillons de la charge utile de logiciels malveillants ont été téléchargés par différentes sources en 2014, mais aucun des antivirus
In the latter half of 2015, the FLARE team identified several versions of an ICS-focused malware crafted to manipulate a specific industrial process running within a simulated Siemens control system environment. We named this family of malware IRONGATE. FLARE found the samples on VirusTotal while researching droppers compiled with PyInstaller - an approach used by numerous malicious actors. The IRONGATE samples stood out based on their references to SCADA and associated functionality. Two samples of the malware payload were uploaded by different sources in 2014, but none of the antivirus |
Malware Industrial | ★★★★ | |
|
2016-05-20 13:59:00 | Comment les logiciels malveillants RTF échappe à la détection basée sur la signature statique How RTF malware evades static signature-based detection (lien direct) |
Histoire
Rich Text Format (RTF) est un format de document développé par Microsoft qui a été largement utilisé sur diverses plates-formes depuis plus de 29 ans.Le format RTF est très flexible et donc compliqué.Cela rend le développement d'un analyseur RTF sûr difficile.Certaines vulnérabilités notoires telles que cve-2010-3333 et CVE-2014-1761 ont été causés par des erreurs dansImplémentation de la logique de l'analyse RTF.
En fait, les logiciels malveillants RTF ne se limitent pas à l'exploitation des vulnérabilités d'analyse RTF.Les fichiers RTF malveillants peuventInclure d'autres vulnérabilités sans rapport avec l'analyseur RTF car RTF prend en charge l'incorporation de
History Rich Text Format (RTF) is a document format developed by Microsoft that has been widely used on various platforms for more than 29 years. The RTF format is very flexible and therefore complicated. This makes the development of a safe RTF parsers challenging. Some notorious vulnerabilities such as CVE-2010-3333 and CVE-2014-1761 were caused by errors in implementing RTF parsing logic. In fact, RTF malware is not limited to exploiting RTF parsing vulnerabilities. Malicious RTF files can include other vulnerabilities unrelated to the RTF parser because RTF supports the embedding of |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-03 07:30:00 | Python bytecode déobfuscting Deobfuscating Python Bytecode (lien direct) |
Introduction
Au cours d'une enquête, l'équipe Flare est tombée sur un échantillon de logiciel malveillant Python intéressant (MD5: 61A9F80612D3F7566DB5BDF37BBF22CF ) qui est emballé à l'aide de py2exe .PY2EXE est un moyen populaire de compiler et de packer les scripts Python en exécutables.Lorsque nous rencontrons ce type de logiciels malveillants, nous décomplimons et lisons généralement le code source Python.Cependant, ce malware était différent, il a fait manipuler ses bytecode pour l'empêcher d'être décompilé facilement!
Dans ce blog, nous analyserons les logiciels malveillants et montrerons comment nous avons supprimé l'obscurcissement, ce qui nous a permis de produire un décompilé propre
Introduction During an investigation, the FLARE team came across an interesting Python malware sample (MD5: 61a9f80612d3f7566db5bdf37bbf22cf ) that is packaged using py2exe. Py2exe is a popular way to compile and package Python scripts into executables. When we encounter this type of malware we typically just decompile and read the Python source code. However, this malware was different, it had its bytecode manipulated to prevent it from being decompiled easily! In this blog we\'ll analyze the malware and show how we removed the obfuscation, which allowed us to produce a clean decompile |
Malware Technical | ★★★★ | |
|
2016-02-09 13:01:01 | Flare Script Series: Flare-DBG Plug-ins (lien direct) | Introduction
Ce post continue la série de script Advanced Reverse Engineering (Flare) Labs FireEye Labs.Dans cet article, nous continuons à discuter du projet Flare-DBG.Si vous ne lisez pas mon Première publication sur l'utilisation de Flare-DBG pour automatiser le décodage des chaînes, Assurez-vous de le vérifier!
Nous avons créé le projet Flare-DBG Python pour soutenir la création de plug-ins pour WindBG.Lorsque nous exploitons la puissance du WINDBG pendant l'analyse des logiciels malveillants, nous avons un aperçu du comportement d'exécution des exécutables.Flare-DBG rend ce processus particulièrement facile.Ce billet de blog traite des plug-ins Windbg qui ont été inspirés par les fonctionnalités
Introduction This post continues the FireEye Labs Advanced Reverse Engineering (FLARE) script series. In this post, we continue to discuss the flare-dbg project. If you haven\'t read my first post on using flare-dbg to automate string decoding, be sure to check it out! We created the flare-dbg Python project to support the creation of plug-ins for WinDbg. When we harness the power of WinDbg during malware analysis, we gain insight into runtime behavior of executables. flare-dbg makes this process particularly easy. This blog post discusses WinDbg plug-ins that were inspired by features |
Malware | ★★★ | |
|
2015-12-01 13:00:00 | Le groupe de cyber-menaces basé en Chine utilise Dropbox pour les communications de logiciels malveillants et cible les médias de Hong Kong China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets (lien direct) |
Fireeye Intelligence Centerfireeye Threat Intelligence Analysts a identifié une campagne de phishing de lance réalisée en août 2015 en ciblant les organisations de médias basées à Hong Kong.Un groupe de cyber-menaces basé en Chine, que Fireeye suit en tant que groupe de menaces persistantes avancé (APT) non classé et d'autres chercheurs appellent «admin @ 338», peut avoir mené l'activité. [1] Les e-mails contenaient des documents malveillants avec une charge utile malveillante appelée lowball.Lowball abuse du service de stockage cloud Dropbox pour la commande et le contrôle (CNC).Nous avons collaboré avec Dropbox pour enquêter sur la menace, et
FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized advanced persistent threat (APT) group and other researchers refer to as “admin@338,” may have conducted the activity.[1] The email messages contained malicious documents with a malware payload called LOWBALL. LOWBALL abuses the Dropbox cloud storage service for command and control (CnC). We collaborated with Dropbox to investigate the threat, and |
Malware Threat Cloud Technical | ★★★★ | |
|
2015-11-16 15:00:00 | Flare Ida Pro Script Series: Automating Function Argument Extraction (lien direct) | intro
Ce billet de blog est le prochain épisode de la série de scripts Flare Team Ida Pro.Tous les scripts et plug-ins sont disponibles à partir de notre Github Repo .
automatiser le répétitif
Je suis un grand partisan de l'automatisation des tâches répétitives pour améliorer et simplifier l'ingénierie inverse.La tâche décrite dans cet article de blog apparaît fréquemment dans l'analyse des logiciels malveillants: identifier tous les arguments donnés à une fonction au sein d'un programme.Cette situation peut survenir lorsque vous essayez:
Identifier la taille, l'emplacement et la clé possible utilisée pour décrypter les chaînes codées utilisées par le malware.
Identifier chaque pointeur de fonction
Intro This blog post is the next episode in the FLARE team IDA Pro Script series. All scripts and plug-ins are available from our GitHub repo. Automating the Repetitive I am a big believer in automating repetitive tasks to improve and simplify reverse engineering. The task described in this blog post comes up frequently in malware analysis: identifying all of the arguments given to a function within a program. This situation may come up when trying to: Identify the size, location, and possible key used to decrypt encoded strings used by the malware. Identify each function pointer |
Malware | ★★★★ | |
|
2015-08-11 14:35:00 | Mouvement latéral malware: une amorce Malware Lateral Movement: A Primer (lien direct) |
Pour tous les discours sur les logiciels malveillants, de nombreuses discussions se concentrent sur l'infection initiale.Récemment, la propagation latérale des logiciels malveillants appelée Mouvement est-ouest, a suscité un intérêt plus important.Voici quelques bases de chaque professionnel de la sécurité.
Alors, comment vos opérations informatiques quotidiennes sont-elles liées à la propagation latérale?
Au cours de nos engagements de réponse aux incidents menés dans le monde entier, nous identifions de nombreuses tendances liées à la façon dont les acteurs malveillants, maintiennent la persistance et nous déplaçons latéralement au sein d'une organisation compromise.Après le compromis initial de l'hôte, les acteurs malveillants
For all the talk about malware, a lot of discussion focuses on initial infection. Recently, the lateral spread of malware-so called east-west movement-has garnered more increasing interest. Here\'s some basics every security professional should know. So, how is your day-to-day IT operations related to lateral spread? During our incident response engagements conducted all over the world, we identify numerous trends related to how malicious actors, maintain persistence and move laterally within a compromised organization. After the initial host compromise, the malicious actors will |
Malware | ★★★★ | |
|
2015-05-14 08:01:01 | Se cacher à la vue: Fireeye et Microsoft exposent la tactique d'obscuscation de Group Chinese Group \\ Hiding in Plain Sight: FireEye and Microsoft Expose Chinese APT Group\\'s Obfuscation Tactic (lien direct) |
Fin 2014, FireEye Threat Intelligence et le Microsoft Threat Intelligence Center ont découvert une tactique d'obscuscation de commandement et de contrôle (CNC) sur le portail Web de TechNet de Microsoft \\ - une précieuse ressource Web pour les professionnels de l'informatique.
Le groupe de menaces a profité de la possibilité de créer des profils et de publier dans des forums pour intégrer CNC codé pour une utilisation avec une variante du malware BlackCoffee.Cette technique peut rendre difficile pour les professionnels de la sécurité du réseau de déterminer la véritable emplacement du CNC et de permettre à l'infrastructure CNC de rester active pendant une période plus longue.Technet \'s Security
In late 2014, FireEye Threat Intelligence and the Microsoft Threat Intelligence Center discovered a Command-and-Control (CnC) obfuscation tactic on Microsoft\'s TechNet web portal-a valuable web resource for IT professionals. The threat group took advantage of the ability to create profiles and post in forums to embed encoded CnC for use with a variant of the malware BLACKCOFFEE. This technique can make it difficult for network security professionals to determine the true location of the CnC, and allow the CnC infrastructure to remain active for a longer period of time. TechNet\'s security |
Malware Threat | ★★★★ | |
|
2015-01-08 20:39:00 | Flare Ida Pro Script Series: Génération de modèles de fonction Flair Using Idapython FLARE IDA Pro Script Series: Generating FLAIR function patterns using IDAPython (lien direct) |
L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Ceci est le troisième script Ida Pro que nous avons publié via ce blog et nous continuerons à publier ces scripts ici .
Résumé
Ce blog décrit un script idapython pour aider à l'ingénierie inverse de logiciels malveillants.Les signatures de flirt aident Ida Pro reconnaître les fonctions communes dans les programmes compilés et les renommer automatiquement pour l'ingénieur inverse.Le script idapython idb2pat.py génère des modèles IDA Pro Flair à partir des fichiers IDB existants.Vous pouvez l'utiliser pour générer des signatures de flirt pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. This is the third IDA Pro script we\'ve released via this blog and we\'ll continue to release these scripts here. Summary This blog describes an IDAPython script to assist with malware reverse engineering. FLIRT signatures help IDA Pro recognize common functions in compiled programs and automatically rename them for the reverse engineer. The IDAPython script idb2pat.py generates IDA Pro FLAIR patterns from existing IDB files. You can use it to generate FLIRT signatures for |
Malware Tool Technical | ★★★★ | |
|
2014-10-27 03:00:42 | Malware APT28: une fenêtre sur les opérations de cyber-espionnage de la Russie? APT28 Malware: A Window into Russia\\'s Cyber Espionage Operations? (lien direct) |
Le rôle des acteurs de l'État-nation dans les cyberattaques a peut-être été le plus largement révélé en février 2013 lorsque mandiant href = "https://www.mandiant.com/resources/mandiant-expose-apt1-chinas-cyber-espionage-units" cible = "_ Blank"> Rapport APT1, en Chine.Aujourd'hui, nous publions un nouveau rapport: apt28:Une fenêtre sur les opérations de cyber-espionnage de la Russie?
Ce rapport se concentre sur un groupe de menaces que nous avons désigné comme APT28.Alors que les logiciels malveillants d'APT28 \\ sont assez connus dans la communauté de la cybersécurité, notre rapport détaille des informations supplémentaires exposant des opérations en cours et ciblées qui, selon nous, indiquent un sponsor gouvernemental basé à Moscou.
dans
The role of nation-state actors in cyber attacks was perhaps most widely revealed in February 2013 when Mandiant released the APT1 report, which detailed a professional cyber espionage group based in China. Today we release a new report: APT28: A Window Into Russia\'s Cyber Espionage Operations? This report focuses on a threat group that we have designated as APT28. While APT28\'s malware is fairly well known in the cybersecurity community, our report details additional information exposing ongoing, focused operations that we believe indicate a government sponsor based in Moscow. In |
Malware Threat | APT 28 APT 28 APT 1 | ★★★★ |
|
2014-09-11 09:00:00 | Flare Ida Pro Script Series: MSDN Annotations Plugin for Malware Analysis (lien direct) | L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Nous avons commencé cette série de blogs avec un script pour Récupération automatique des chaînes construites dans les logiciels malveillants .Comme toujours, vous pouvez Téléchargez ces scripts sur notre page github .Nous espérons que vous trouverez tous ces scripts aussi utiles que nous.
motivation
Au cours de mon stage d'été avec l'équipe Flare, mon objectif était de développer des plug-ins idapython qui accélèrent le flux de travail ingénieur en inverse dans IDA Pro.Tout en analysant des échantillons de logiciels malveillants avec l'équipe, j'ai réalisé que beaucoup de temps est passé à chercher
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. We started this blog series with a script for Automatic Recovery of Constructed Strings in Malware. As always, you can download these scripts at our Github page. We hope you find all these scripts as useful as we do. Motivation During my summer internship with the FLARE team, my goal was to develop IDAPython plug-ins that speed up the reverse engineering workflow in IDA Pro. While analyzing malware samples with the team, I realized that a lot of time is spent looking up |
Malware Tool | ★★★ | |
|
2014-08-01 09:00:00 | Flare Ida Pro Script Series: Récupération automatique des chaînes construites dans les logiciels malveillants FLARE IDA Pro Script Series: Automatic Recovery of Constructed Strings in Malware (lien direct) |
L'équipe Advanced Insinerering (Flare) de FireEye Labs (Flare) se consacre au partage des connaissances et des outils avec la communauté.Nous avons commencé avec la sortie du Flare on Challenge Début juillet où des milliers d'ingénieurs inversés et des amateurs de sécurité ont participé.Restez à l'écoute pour une rédaction des Solutions Challenge dans un prochain article de blog.
Ce post est le début d'une série où nous cherchons à aider d'autres analystes de logiciels malveillants sur le terrain.Étant donné que IDA PRO est l'outil le plus populaire utilisé par les analystes de logiciels malveillants, nous nous concentrons sur la libération de scripts et de plug-ins pour en faire un outil encore plus efficace pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team is dedicated to sharing knowledge and tools with the community. We started with the release of the FLARE On Challenge in early July where thousands of reverse engineers and security enthusiasts participated. Stay tuned for a write-up of the challenge solutions in an upcoming blog post. This post is the start of a series where we look to aid other malware analysts in the field. Since IDA Pro is the most popular tool used by malware analysts, we\'ll focus on releasing scripts and plug-ins to help make it an even more effective tool for |
Malware Tool | ★★★ | |
|
2014-04-03 09:48:00 | DLL à chargement latéral: un autre point mort pour antivirus DLL Side-Loading: Another Blind-Spot for Anti-Virus (lien direct) |
Le mois dernier, j'ai présenté une conférence à la conférence RSA USA sur un vecteur de menace de plus en plus populaire appelé «Dynamic-Link Library-Wadinging» (DLL Side-Wading).Comme pour de nombreuses vulnérabilités, cet exploit existe depuis assez longtemps et est le résultat de Microsoft qui cherche à faciliter les mises à jour binaires pour les développeurs Windows via la fonction d'assemblage Windows côte à côte (WINSXS).
Maintenant, cependant, les développeurs avancés de menace persistante (APT) utilisent la méthode inoffensive de chargement latéral DLL pour faufiler les scanners antivirus (AV) de malware (AV) alors que les fichiers infectés fonctionnent en mémoire.Ce faisant, le
Last month, I presented a talk at the RSA USA Conference on an increasingly popular threat vector called “Dynamic-Link Library Side-Loading” (DLL Side-Loading). As with many vulnerabilities, this exploit has existed for a rather long time and is the result of Microsoft looking to make binary updates easier for Windows developers through the Windows side-by-side (WinSxS) assembly feature. Now, though, advanced persistent threat (APT) developers are using the innocuous DLL Side-Loading method to sneak malware past anti-virus (AV) scanners as the infected files run in-memory. In doing-so, the |
Malware Threat Conference Technical | ★★★★ | |
|
2014-02-19 10:00:00 | Xtrememerat: Nuisance ou menace? XtremeRAT: Nuisance or Threat? (lien direct) |
Plutôt que de construire des logiciels malveillants personnalisés, de nombreux acteurs de menace derrière les attaques ciblés utilisent des chevaux de Troie (rats) publiquement ou disponibles dans le commerce.Ce logiciel malveillant prédéfini a toutes les fonctionnalités nécessaires pour effectuer du cyber-espionnage et est contrôlée directement par les humains, qui ont la capacité de s'adapter aux défenses du réseau.En conséquence, la menace posée par ces rats ne doit pas être sous-estimée.
Cependant, il est difficile de distinguer et de corréler l'activité des acteurs de menace ciblés en fonction de leur préférence pour utiliser des logiciels malveillants particuliers - en particulier des logiciels malveillants librement disponibles.À partir d'un
Rather than building custom malware, many threat actors behind targeted attacks use publicly or commercially available remote access Trojans (RATs). This pre-built malware has all the functionality needed to conduct cyber espionage and is controlled directly by humans, who have the ability to adapt to network defenses. As a result, the threat posed by these RATs should not be underestimated. However, it is difficult to distinguish and correlate the activity of targeted threat actors based solely on their preference to use particular malware - especially, freely available malware. From an |
Malware Threat | ★★★★ | |
|
2014-01-23 15:00:00 | Suivi des logiciels malveillants avec un hachage d'importation Tracking Malware with Import Hashing (lien direct) |
Le suivi des groupes de menaces au fil du temps est un outil important pour aider les défenseurs à rechercher le mal sur les réseaux et à mener une réponse efficace aux incidents.Savoir comment certains groupes opèrent en fait une enquête efficace et aide à identifier facilement l'activité des acteurs de la menace.
Chez Mandiant, nous utilisons plusieurs méthodes pour aider à identifier et corréler l'activité du groupe de menaces.Un élément critique de notre travail consiste à suivre divers éléments opérationnels tels que l'infrastructure d'attaquant et les adresses e-mail.De plus, nous suivons les délais spécifiques que chaque groupe de menaces utilise - l'un des moyens clés pour suivre un
Tracking threat groups over time is an important tool to help defenders hunt for evil on networks and conduct effective incident response. Knowing how certain groups operate makes for an efficient investigation and assists in easily identifying threat actor activity. At Mandiant, we utilize several methods to help identify and correlate threat group activity. A critical piece of our work involves tracking various operational items such as attacker infrastructure and email addresses. In addition, we track the specific backdoors each threat group utilizes - one of the key ways to follow a |
Malware Tool Threat Technical | ★★★★ | |
|
2013-10-01 13:45:52 | OpenIOC: Retour aux bases OpenIOC: Back to the Basics (lien direct) |
Un défi auxquels les enquêteurs sont confrontés lors de la réponse aux incidents est de trouver un moyen d'organiser des informations sur une activité des attaquants, des services publics, des logiciels malveillants et d'autres indicateurs de compromis, appelés IOC.Le format openIoc traite ce défi de front.OpenIOC fournit un format standard et des termes pour décrire les artefacts rencontrés au cours d'une enquête.Dans cet article, nous allons fournir un aperçu de haut niveau des CIO, y compris les cas d'utilisation du CIO, la structure d'une logique IOC et IOC.
Avant de continuer, il est important de mentionner que les CIO ne sont pas des signatures, et ce ne sont pas
One challenge investigators face during incident response is finding a way to organize information about an attackers\' activity, utilities, malware and other indicators of compromise, called IOCs. The OpenIOC format addresses this challenge head-on. OpenIOC provides a standard format and terms for describing the artifacts encountered during the course of an investigation. In this post we\'re going to provide a high-level overview of IOCs, including IOC use cases, the structure of an IOC and IOC logic. Before we continue, it\'s important to mention that IOCs are not signatures, and they aren |
Malware Technical | ★★★★ | |
|
2013-09-06 03:00:00 | Tactiques évasives: Tairoor Evasive Tactics: Taidoor (lien direct) |
Le malware Tairoor a été utilisé dans de nombreuses campagnes de cyber-espionnage en cours.Ses victimes comprennent les agences gouvernementales, les entités d'entreprise et les groupes de réflexion, en particulier ceux qui ont des intérêts à Taïwan.[1] Dans une attaque typique, les cibles reçoivent un spear-phishing e-mail qui les encourage à ouvrir un fichier joint.Si elle est ouverte sur un système vulnérable, les logiciels malveillants sont installés silencieusement sur l'ordinateur de la cible \\ tandis qu'un document de leurre avec du contenu légitime est ouvert qui est destiné à atténuer les soupçons dont la cible peut avoir.Tairoor a réussi à compromettre les cibles depuis 2008 et se poursuit
The Taidoor malware has been used in many ongoing cyber espionage campaigns. Its victims include government agencies, corporate entities, and think tanks, especially those with interests in Taiwan. [1] In a typical attack, targets receive a spear-phishing email which encourages them to open an attached file. If opened on a vulnerable system, malware is silently installed on the target\'s computer while a decoy document with legitimate content is opened that is intended to alleviate any suspicions the target may have. Taidoor has been successfully compromising targets since 2008, and continues |
Malware Technical | ★★★★ | |
|
2013-08-07 03:00:00 | Briser la coque Web de China Chopper - Partie I Breaking Down the China Chopper Web Shell - Part I (lien direct) |
Partie I dans une série en deux parties.
Chine Chine: le petit malware qui pourrait
China Chopper est un petit shell lisse qui ne reçoit pas suffisamment d'exposition et de crédit pour sa furtivité.À part un bon article de blog De la chercheuse en sécurité Keith Tyler, nous pourrions trouver peu d'informations utilesSur China Chopper lorsque nous l'avons rencontré lors d'un engagement de réponse aux incidents.Donc, pour contribuer quelque chose de nouveau à la base de connaissances publique - en particulier pour ceux qui trouvent la charge utile côté serveur China Chopper sur l'un de leurs serveurs Web - nous avons étudié les composants, les capacités, les attributs de charge utile
Part I in a two-part series. China Chopper: The Little Malware That Could China Chopper is a slick little web shell that does not get enough exposure and credit for its stealth. Other than a good blog post from security researcher Keith Tyler, we could find little useful information on China Chopper when we ran across it during an incident response engagement. So to contribute something new to the public knowledge base - especially for those who happen to find the China Chopper server-side payload on one of their Web servers - we studied the components, capabilities, payload attributes |
Malware | ★★★★ | |
|
2013-04-23 00:30:00 | Rappels de logiciels malveillants Malware Callbacks (lien direct) |
Aujourd'hui, nous avons publié notre premier Analyse des rappels de logiciels malveillants .
Fireeye a surveillé plus de 12 millions de communications de logiciels malveillants à la recherche d'instructions - ou des rappels - accessible à des centaines de milliers d'hôtes d'entreprise infectés, capturant les détails des attaques avancées ainsi que des variétés plus génériques au cours de 2012.Les intentions, les intérêts et l'emplacement géographique d'un attaquant.Les cyberattaques sont une activité mondiale répandue.Nous avons créé des cartes interactives qui mettent en évidence la présence de logiciels malveillants à l'échelle mondiale: http://www.fireeye.com/cyber-Attack-Landscape /
Today we released our first-ever analysis of malware callbacks. FireEye monitored more than 12 million malware communications seeking instructions-or callbacks-across hundreds of thousands of infected enterprise hosts, capturing details of advanced attacks as well as more generic varieties during the course of 2012. Callback activity reveals a great deal about an attacker\'s intentions, interests and geographic location. Cyber attacks are a widespread global activity. We\'ve built interactive maps that highlight the presence of malware globally: http://www.fireeye.com/cyber-attack-landscape/ |
Malware Technical | ★★★ | |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ | |
|
2010-08-16 10:16:00 | Inversion de la commande et du contrôle des logiciels malveillants: des sockets au com Reversing Malware Command and Control: From Sockets to COM (lien direct) |
Sur un hôte Windows, il existe plus d'une façon pour qu'un programme communique sur Internet.Lors de l'ingénierie inverse d'un malware, il est d'une importance cruciale de comprendre quelle API est utilisée et comment elle fonctionne afin que vous puissiez comprendre les données envoyées et reçues ainsi que la structure de commande et le protocole interne le cas échéant.Le choix de l'API de réseautage affecte également la façon dont vous élaborez vos indicateurs (plus à ce sujet plus tard).Je brise les communications de commande et de contrôle des logiciels malveillants Windows en quatre catégories d'API: sockets, wininet, urlmon et com.L'objectif principal de ce
On a Windows host there is more than one way for a program to communicate across the internet. When reverse engineering a piece of malware it is of critical importance to understand what API is being used and how it works so that you may gain an understanding of the data sent and received as well as command structure and internal protocol if applicable. The choice of networking API also effects how you craft your indicators (more on this later). I break Windows Malware Command and Control communications into four API categories: Sockets, WinInet, URLMon and COM. The primary focus of this |
Malware | ★★★ | |
|
2010-07-15 16:13:00 | Persistance des logiciels malveillants sans le registre Windows Malware Persistence without the Windows Registry (lien direct) |
Pour qu'un attaquant maintienne un pied dans votre réseau, il installera généralement un malware de mal de porte dérobée sur au moins un de vos systèmes.Le malware doit être installé de manière persistante, ce qui signifie qu'elle restera active en cas de redémarrage.La plupart des techniques de persistance sur une plate-forme Microsoft Windows impliquent l'utilisation du registre.Les exceptions notables incluent le dossier de démarrage et les binaires du système de trojanisation.L'examen des emplacements de persistance des logiciels malveillants dans le registre Windows et les emplacements de démarrage est une technique courante utilisée par les enquêteurs médico-légaux pour identifier les logiciels malveillants sur un
For an attacker to maintain a foothold inside your network they will typically install a piece of backdoor malware on at least one of your systems. The malware needs to be installed persistently, meaning that it will remain active in the event of a reboot. Most persistence techniques on a Microsoft Windows platform involve the use of the Registry. Notable exceptions include the Startup Folder and trojanizing system binaries. Examining malware persistence locations in the Windows Registry and startup locations is a common technique employed by forensic investigators to identify malware on a |
Malware | ★★★★ |
To see everything:
Our RSS (filtrered)
