What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2020-11-19 19:00:00 | VBA purgalicious: obscurcissement macro avec purge de VBA Purgalicious VBA: Macro Obfuscation With VBA Purging (lien direct) |
Les documents de bureau malveillants restent une technique préférée pour chaque type d'acteur de menace, des Teamers Red aux groupes FIN en passant par APTS.Dans cet article de blog, nous discuterons de "Purging VBA", une technique que nous avons de plus en plus observée dans la nature et c'était d'abord Documé publiquement par Didier Stevens en février 2020 .Nous expliquerons comment VBA Purging fonctionne avec les documents Microsoft Office au format binaire de fichiers composés (CFBF), partagez certaines opportunités de détection et de chasse et introduire un nouvel outil créé par l'équipe rouge de Mandiant \\: officepurge .
Format de fichier MS-OVBA
Avant de plonger dans la purge VBA, c'est
Malicious Office documents remain a favorite technique for every type of threat actor, from red teamers to FIN groups to APTs. In this blog post, we will discuss "VBA Purging", a technique we have increasingly observed in the wild and that was first publicly documented by Didier Stevens in February 2020. We will explain how VBA purging works with Microsoft Office documents in Compound File Binary Format (CFBF), share some detection and hunting opportunities, and introduce a new tool created by Mandiant\'s Red Team: OfficePurge. MS-OVBA File Format Before diving into VBA Purging, it is |
Tool Threat Technical | ★★★★ | |
|
2020-11-09 19:00:00 | Wow64! Hooks: wow64 sous-système internes et techniques d'accrochage WOW64!Hooks: WOW64 Subsystem Internals and Hooking Techniques (lien direct) |
Microsoft est connu pour sa compatibilité vers l'arrière.Lorsqu'ils ont déployé la variante 64 bits des fenêtres il y a des années, ils devaient fournir une compatibilité avec les applications 32 bits existantes.Afin de fournir une exécution transparente, quelle que soit la bibliothèque de l'application, le système WOW (Windows on Windows) a été inventé.Cette couche, qui sera appelée \\ 'wow64 \' à partir de maintenant, est responsable de la traduction de tous les appels de l'API Windows de l'espace utilisateur 32 bits au noyau du système d'exploitation 64 bits.Ce billet de blog est divisé en deux sections.Nous commençons d'abord par plonger profondément dans le système WOW64.Pour ce faire
Microsoft is known for their backwards compatibility. When they rolled out the 64-bit variant of Windows years ago they needed to provide compatibility with existing 32-bit applications. In order to provide seamless execution regardless of application bitness, the WoW (Windows on Windows) system was coined. This layer, which will be referred to as \'WOW64\' from here on out, is responsible for translating all Windows API calls from 32-bit userspace to the 64-bit operating system kernel. This blog post is broken up into two sections. First we start by diving deep into the WOW64 system. To do this |
★★★★ | ||
|
2020-11-04 19:00:00 | Dans le débordement de tampon critique sauvage, la vulnérabilité de Solaris peut permettre une prise de contrôle à distance - CVE-2020-14871 In Wild Critical Buffer Overflow Vulnerability in Solaris Can Allow Remote Takeover - CVE-2020-14871 (lien direct) |
Fireeye Mandiant a étudié les machines Oracle Solaris compromises dans les environnements clients.Au cours de nos enquêtes, nous avons découvert un outil d'exploitation sur le système d'un client et l'avons analysé pour voir comment il attaquait leur environnement Solaris.Le groupe de travail offensif de l'équipe Flare \\ a analysé l'exploit pour déterminer comment il a fonctionné, reproduit la vulnérabilité sur différentes versions de Solaris, puis l'a signalée à Oracle.Dans cet article de blog, nous présentons une description de la vulnérabilité, offrons un moyen rapide de tester si un système peut être vulnérable et suggérer des atténuations et
FireEye Mandiant has been investigating compromised Oracle Solaris machines in customer environments. During our investigations, we discovered an exploit tool on a customer\'s system and analyzed it to see how it was attacking their Solaris environment. The FLARE team\'s Offensive Task Force analyzed the exploit to determine how it worked, reproduced the vulnerability on different versions of Solaris, and then reported it to Oracle. In this blog post we present a description of the vulnerability, offer a quick way to test whether a system may be vulnerable, and suggest mitigations and |
Tool Vulnerability | ★★★ | |
|
2020-11-02 19:15:00 | Vivre du terrain?Que diriez-vous d'apporter votre propre île?Un aperçu de UNC1945 Live off the Land? How About Bringing Your Own Island? An Overview of UNC1945 (lien direct) |
Grâce à une enquête mandiante des intrusions, l'équipe de Flare Advanced Practices a observé un groupe que nous suivons en tant que fournisseurs de services gérés par UNC1945 et opérant contre un ensemble de cibles sur mesure au sein des industries de conseil financière et professionnelle en tirant un accès à des réseaux tiers (voir (voirCe article de blog pour une description approfondie des groupes «UNC»).
UNC1945 Tiré des systèmes d'exploitation Oracle Solaris, utilisé plusieurs outils et utilitaires contre Windows et Systèmes d'exploitation Linux, des machines virtuelles personnalisées chargées et exploitées et utilisé des techniques pour échapper à la détection
Through Mandiant investigation of intrusions, the FLARE Advanced Practices team observed a group we track as UNC1945 compromise managed service providers and operate against a tailored set of targets within the financial and professional consulting industries by leveraging access to third-party networks (see this blog post for an in-depth description of “UNC” groups). UNC1945 targeted Oracle Solaris operating systems, utilized several tools and utilities against Windows and Linux operating systems, loaded and operated custom virtual machines, and employed techniques to evade detection |
Tool | ★★★★ | |
|
2020-10-28 17:00:00 | Spécial d'heure malheureuse: Kegtap et Singlemalt avec un chasseur de ransomwares Unhappy Hour Special: KEGTAP and SINGLEMALT With a Ransomware Chaser (lien direct) |
tout au long de 2020, l'activité des ransomwares est devenue de plus en plus prolifique, en s'appuyant sur un écosystème d'opérations distinctes mais co-habilitantes pour accéder à des cibles d'intérêt avant de procéder à l'extorsion.Mandiant Threat Intelligence a suivi plusieurs campagnes de chargeur et de porte dérobée qui mènent au déploiement post-compromis de ransomwares, parfois dans 24 heures de compromis initial .Une détection efficace et rapide de ces campagnes est essentielle pour atténuer cette menace.
Les familles de logiciels malveillants permettant ces attaques précédemment rapportées par Mandiant aux abonnés de l'intelligence incluent Kegtap / Beerbot
Throughout 2020, ransomware activity has become increasingly prolific, relying on an ecosystem of distinct but co-enabling operations to gain access to targets of interest before conducting extortion. Mandiant Threat Intelligence has tracked several loader and backdoor campaigns that lead to the post-compromise deployment of ransomware, sometimes within 24 hours of initial compromise. Effective and fast detection of these campaigns is key to mitigating this threat. The malware families enabling these attacks previously reported by Mandiant to intelligence subscribers include KEGTAP/BEERBOT |
Ransomware Malware Threat | ★★★ | |
|
2020-10-28 10:30:00 | Bienvenue à KenersPursuit VM: A mention Intelligence and Hunting Virtual Machine Welcome to ThreatPursuit VM: A Threat Intelligence and Hunting Virtual Machine (lien direct) |
 Les adversaires qualifiés peuvent tromper la détection et utiliser souvent de nouvelles mesures dans leur métier.Garder un accent strict sur le cycle de vie et l'évolution des adversaires permet aux analystes de concevoir de nouveaux mécanismes de détection et des processus de réponse.L'accès à l'outillage et aux ressources appropriés est essentiel pour découvrir ces menaces en temps opportun et précis.Par conséquent, nous compilons activement les packages de logiciels les plus essentiels dans une distribution basée sur Windows: VM de menace pour la combinaison .
MenkingPursuit Virtual Machine (VM) est une distribution Windows entièrement personnalisable et open source focalisée
 Skilled adversaries can deceive detection and often employ new measures in their tradecraft. Keeping a stringent focus on the lifecycle and evolution of adversaries allows analysts to devise new detection mechanisms and response processes. Access to the appropriate tooling and resources is critical to discover these threats within a timely and accurate manner. Therefore, we are actively compiling the most essential software packages into a Windows-based distribution: ThreatPursuit VM.
ThreatPursuit Virtual Machine (VM) is a fully customizable, open-sourced Windows-based distribution focused |
Threat | ★★★ | |
|
2020-10-23 07:00:00 | Flare-on 7 Challenge Solutions (lien direct) | Nous sommes ravis d'annoncer la conclusion du septième défi de l'échelle annuelle.Cette année s'est avérée être le défi le plus difficile que nous avons produit, avec le taux de finisseurs le plus bas.Cette année, les gagnants de \\ sont vraiment l'élite de l'élite!Heureusement pour eux, tous les 260 gagnants recevront cette clé de métal cyberpunk.
 Nous tenons à remercier les auteurs du défi individuellement pour leurs grands puzzles et solutions:
Fidler & # 8211;pseudoHarbor ( @nickharbour )
Garbage & # 8211;Jon Erickson
Mercredi & # 8211;Blaine Stancill ( @malwaremechanch )
Rapport & # 8211;Moritz Raabe ( @m_r_tz )
Tkapp & # 8211;Moritz Raabe ( @m_r_tz )
codeit
We are thrilled to announce the conclusion of the seventh annual Flare-On challenge. This year proved to be the most difficult challenge we\'ve produced, with the lowest rate of finishers. This year\'s winners are truly the elite of the elite! Lucky for them, all 260 winners will receive this cyberpunk metal key. We would like to thank the challenge authors individually for their great puzzles and solutions:
fidler – Nick Harbour (@nickharbour)
garbage – Jon Erickson
Wednesday – Blaine Stancill (@MalwareMechanic)
report – Moritz Raabe (@m_r_tz)
TKApp – Moritz Raabe (@m_r_tz)
CodeIt |
★★★ | ||
|
2020-10-14 07:00:00 | FIN11: campagnes par e-mail généralisées comme précurseur pour les ransomwares et le vol de données FIN11: Widespread Email Campaigns as Precursor for Ransomware and Data Theft (lien direct) |
Mandiant Threat Intelligence a récemment promu un groupe de menaces à un groupe de menaces FIN (ou à motivé financièrement) pour la première fois depuis 2017. Nous avons détaillé diverses tactiques, techniques et procédures de Fin11 \\ dans un rapport disponible maintenant disponible maintenantEn s'inscrivant à mandiant avantage gratuit .
À certains égards, Fin11 rappelle APT1;Ils ne sont pas notables non pas pour leur sophistication, mais pour leur volume d'activité.Il existe des lacunes importantes dans les opérations de phishing de Fin11, mais lorsqu'elles sont actives, le groupe mène jusqu'à cinq campagnes à volume élevé par semaine.Tandis que de nombreuses motivations financières
Mandiant Threat Intelligence recently promoted a threat cluster to a named FIN (or financially motivated) threat group for the first time since 2017. We have detailed FIN11\'s various tactics, techniques and procedures in a report that is available now by signing up for Mandiant Advantage Free. In some ways, FIN11 is reminiscent of APT1; they are notable not for their sophistication, but for their sheer volume of activity. There are significant gaps in FIN11\'s phishing operations, but when active, the group conducts up to five high-volume campaigns a week. While many financially motivated |
Ransomware Threat | ★★★★ | |
|
2020-09-30 11:45:00 | Détection Detecting Microsoft 365 and Azure Active Directory Backdoors (lien direct) |
Mandiant a vu une augmentation des incidents impliquant Microsoft 365 (M365) et Azure Active Directory (Azure AD).La plupart de ces incidents sont le résultat d'un e-mail de phishing contraignant un utilisateur pour saisir ses informations d'identification utilisées pour accéder au M365 dans un site de phishing.D'autres incidents sont le résultat d'une pulvérisation de mot de passe, d'une farce de mot de passe ou de simples tentatives de force brute contre les locataires M365.Dans presque tous ces incidents, l'utilisateur ou le compte n'a pas été protégé par l'authentification multi-facteurs (MFA).
Ces attaques opportunistes sont certainement la forme de compromis la plus courante pour M365 et Azure AD
Mandiant has seen an uptick in incidents involving Microsoft 365 (M365) and Azure Active Directory (Azure AD). Most of these incidents are the result of a phishing email coercing a user to enter their credentials used for accessing M365 into a phishing site. Other incidents have been a result of password spraying, password stuffing, or simple brute force attempts against M365 tenants. In almost all of these incidents, the user or account was not protected by multi-factor authentication (MFA). These opportunistic attacks are certainly the most common form of compromise for M365 and Azure AD |
★★★★ | ||
|
2020-09-29 08:01:01 | Dans la poursuite d'une visualisation Gestalt: fusion de l'agent à mitre ATT & CK & Reg;Pour l'entreprise et les CI, communiquer les comportements adversaires In Pursuit of a Gestalt Visualization: Merging MITRE ATT&CK® for Enterprise and ICS to Communicate Adversary Behaviors (lien direct) |
mise à jour (10 décembre): Ce message a été mis à jour pour refléter les modifications de la matrice de mitre ATT & amp; CK pour l'entreprise, qui comprend désormais des tactiques supplémentaires.
Comprendre les menaces de plus en plus complexes auxquelles sont confrontés les organisations d'infrastructures industrielles et critiques n'est pas une tâche simple.Alors que les acteurs de menaces très qualifiés continuent de se renseigner sur les nuances uniques de la technologie opérationnelle (OT) et les systèmes de contrôle industriel (CI), nous observons de plus en plus les attaquants explorant une diversité de méthodes pour atteindre leurs objectifs.Les défenseurs sont confrontés au défi de l'analyse systématique des informations de ces incidents
Update (Dec. 10): This post has been updated to reflect changes in MITRE ATT&CK Matrix for Enterprise, which now includes additional tactics. Understanding the increasingly complex threats faced by industrial and critical infrastructure organizations is not a simple task. As high-skilled threat actors continue to learn about the unique nuances of operational technology (OT) and industrial control systems (ICS), we increasingly observe attackers exploring a diversity of methods to reach their goals. Defenders face the challenge of systematically analyzing information from these incidents |
Threat Industrial | ★★★ | |
|
2020-09-24 10:00:00 | Panage d'image à fuzz dans les fenêtres, première partie: Profils de couleurs Fuzzing Image Parsing in Windows, Part One: Color Profiles (lien direct) |
L'analyse et le rendu d'image sont des caractéristiques de base de tout système d'exploitation moderne (OS).L'analyse d'image est une surface d'attaque facilement accessible, et une vulnérabilité qui peut conduire à l'exécution du code distant ou à la divulgation d'informations dans une telle fonctionnalité est précieuse pour les attaquants.Dans cette série de blogs en plusieurs parties, je passe en revue les analyseurs d'image intégrés Windows OS \\ 'et les formats de fichiers connexes: envisage spécifiquement de créer un harnais, de chasser le corpus et de fuzzing pour trouver des vulnérabilités.Dans la première partie de cette série, je regarde les profils de couleurs - pas un format d'image lui-même, mais quelque chose qui est régulièrement
Image parsing and rendering are basic features of any modern operating system (OS). Image parsing is an easily accessible attack surface, and a vulnerability that may lead to remote code execution or information disclosure in such a feature is valuable to attackers. In this multi-part blog series, I am reviewing Windows OS\' built-in image parsers and related file formats: specifically looking at creating a harness, hunting for corpus and fuzzing to find vulnerabilities. In part one of this series I am looking at color profiles-not an image format itself, but something which is regularly |
Vulnerability | ★★★ | |
|
2020-09-22 08:00:00 | Uniter des superpuissances de sécurité: Mandiant Solutions et Microsoft travaillant ensemble pour de meilleurs résultats de sécurité Uniting Security Superpowers: Mandiant Solutions and Microsoft Working Together for Better Security Outcomes (lien direct) |
"Si tout le monde va de l'avant, alors le succès prend soin de lui-même."
-Henry Ford
Quelle que soit l'industrie, la géographie ou le modèle commercial, l'expérience m'a appris que c'est toujours vrai.En affaires, tout comme avec nos familles et nos amis, de solides relations nous aident à réussir.Avec la confiance et la coopération des bons partenaires, même les plus grands défis peuvent être surmontés.
Mandiant Solutions rejoint MISA
Ce n'est qu'une des nombreuses raisons pour lesquelles nous, chez Maniant Solutions, sommes ravis d'accepter l'invitation de Microsoft Corp. \\ à rejoindre le
"If everyone is moving forward together, then success takes care of itself." -Henry Ford Regardless of industry, geography or business model, experience has taught me this is always true. In business, just like with our families and friends, strong relationships help us succeed. With the trust and cooperation of the right partners, even the biggest challenges can be overcome. Mandiant Solutions Joins MISA This is just one of the many reasons why we at Mandiant Solutions are thrilled to accept Microsoft Corp.\'s invitation to join the |
★★★★ | ||
|
2020-09-14 11:30:00 | Une perspective "DFUR-ent" sur la modélisation des menaces et l'analyse médico-légale du journal des applications A "DFUR-ent" Perspective on Threat Modeling and Application Log Forensic Analysis (lien direct) |
De nombreuses organisations opérant dans le commerce électronique, l'hôtellerie, les soins de santé, les services gérés et d'autres secteurs de services reposent sur des applications Web.Et enterré dans les journaux de demande peut être la découverte potentielle d'une utilisation et / ou d'un compromis frauduleux!Mais, laissez-le faire face, trouver le mal dans les journaux d'application peut être difficile et écrasant pour plusieurs raisons, notamment:
La grande variété d'applications Web avec des fonctionnalités uniques
L'absence d'un format d'exploitation standard
Formats de journalisation conçus pour le dépannage des problèmes d'application et non les enquêtes de sécurité
La nécessité d'un
Many organizations operating in e-commerce, hospitality, healthcare, managed services, and other service industries rely on web applications. And buried within the application logs may be the potential discovery of fraudulent use and/or compromise! But, let\'s face it, finding evil in application logs can be difficult and overwhelming for a few reasons, including: The wide variety of web applications with unique functionality The lack of a standard logging format Logging formats that were designed for troubleshooting application issues and not security investigations The need for a |
Threat | ★★★ | |
|
2020-08-26 10:00:00 | Émulation de code de coquille malveillante avec speakeasy Emulation of Malicious Shellcode With Speakeasy (lien direct) |
Afin de permettre l'émulation d'échantillons de logiciels malveillants à grande échelle, nous avons développé le Frame d'émulation Speakeasy .Speakeasy vise à faciliter la facilité que possible pour les utilisateurs qui ne sont pas des analystes de logiciels malveillants d'acquérir des rapports de triage de manière automatisée, ainsi que pour permettre aux ingénieurs inversés d'écrire des plugins personnalisés pour triage des familles de logiciels malveillants.
Créé à l'origine pour imiter les logiciels malveillants du mode du noyau Windows, SpeakeSy prend désormais également en charge les échantillons de mode utilisateur.L'objectif principal du projet \\ est l'émulation à haute résolution du système d'exploitation Windows pour l'analyse dynamique des logiciels malveillants pour les plates-formes X86 et AMD64
In order to enable emulation of malware samples at scale, we have developed the Speakeasy emulation framework. Speakeasy aims to make it as easy as possible for users who are not malware analysts to acquire triage reports in an automated way, as well as enabling reverse engineers to write custom plugins to triage difficult malware families. Originally created to emulate Windows kernel mode malware, Speakeasy now also supports user mode samples. The project\'s main goal is high resolution emulation of the Windows operating system for dynamic malware analysis for the x86 and amd64 platforms |
Malware | ★★★★ | |
|
2020-08-25 04:00:00 | Une introduction pratique à l'approche de Mandiant \\ S à l'équipe d'OT Red A Hands-On Introduction to Mandiant\\'s Approach to OT Red Teaming (lien direct) |
Les propriétaires d'actifs de technologie opérationnelle (OT) ont historiquement considéré que les réseaux rouges de l'OT et du système de contrôle industriel (ICS) sont trop risqués en raison du potentiel de perturbations ou d'impact négatif sur les systèmes de production.Bien que cet état d'esprit soit resté largement inchangé depuis des années, l'expérience de Mandiant dans le domaine suggère que ces perspectives changent;Nous fournissons de plus en plus de valeur aux clients en faisant équipe en toute sécurité en associant leurs réseaux de production OT.
Cette volonté croissante de l'équipe rouge de l'OT est probablement motivée par quelques facteurs, notamment le nombre croissant et
Operational technology (OT) asset owners have historically considered red teaming of OT and industrial control system (ICS) networks to be too risky due to the potential for disruptions or adverse impact to production systems. While this mindset has remained largely unchanged for years, Mandiant\'s experience in the field suggests that these perspectives are changing; we are increasingly delivering value to customers by safely red teaming their OT production networks. This increasing willingness to red team OT is likely driven by a couple of factors, including the growing number and |
Industrial | ★★★★ | |
|
2020-08-11 12:00:00 | Cookiejar: suivi des adversaires avec module de tracker de connexion de FireEye Endpoint Security \\ COOKIEJAR: Tracking Adversaries With FireEye Endpoint Security\\'s Logon Tracker Module (lien direct) |
Lors d'une récente enquête dans une société de télécommunications dirigée par MandiantDéfense gérée , notre équipe a été chargée d'identifier rapidement des systèmes accessibles par un acteur de menace utilisant des références de domaine légitimes mais compromises.Cette tâche parfois prolongée a été rendue simple parce que le client avait activé le module de tracker de connexion dans leur fireeye Fin Point Security Produit.
Logon Tracker est un module d'architecture d'innovation de sécurité finale conçu pour simplifier l'étude du mouvement latéral dans les environnements d'entreprise Windows.Logon Tracker améliore le
During a recent investigation at a telecommunications company led by Mandiant Managed Defense, our team was tasked with rapidly identifying systems that had been accessed by a threat actor using legitimate, but compromised domain credentials. This sometimes-challenging task was made simple because the customer had enabled the Logon Tracker module within their FireEye Endpoint Security product. Logon Tracker is an Endpoint Security Innovation Architecture module designed to simplify the investigation of lateral movement within Windows enterprise environments. Logon Tracker improves the |
Threat | ★★★★ | |
|
2020-08-06 14:15:00 | Contournant l'anti-analyse de masse Bypassing MassLogger Anti-Analysis - a Man-in-the-Middle Approach (lien direct) |
L'équipe FireEye Front Line Applied Research & Expertise (Flare) tente de toujours rester au top des menaces les plus récentes et les plus émergentes.En tant que membre de l'équipe Flare Reverser Engineer, j'ai récemment reçu une demande d'analyse d'un voleur d'identification assez nouveau identifié comme MassLogger.Malgré le manque de nouvelles fonctionnalités et caractéristiques, cet échantillon utilise une technique sophistiquée qui remplace le langage intermédiaire Microsoft (MSIL) au temps d'exécution pour entraver l'analyse statique.Au moment d'écrire ces lignes, il n'y a que une publication Discuter de la technique d'obscuscations de Masslogger dans certains
The FireEye Front Line Applied Research & Expertise (FLARE) Team attempts to always stay on top of the most current and emerging threats. As a member of the FLARE Reverse Engineer team, I recently received a request to analyze a fairly new credential stealer identified as MassLogger. Despite the lack of novel functionalities and features, this sample employs a sophisticated technique that replaces the Microsoft Intermediate Language (MSIL) at run time to hinder static analysis. At the time of this writing, there is only one publication discussing the MassLogger obfuscation technique in some |
★★★ | ||
|
2020-08-05 13:00:00 | Réorientation des réseaux de neurones pour générer des médias synthétiques pour les opérations d'information Repurposing Neural Networks to Generate Synthetic Media for Information Operations (lien direct) |
Les équipes d'analyse des données et des opérations d'information de Fireeye \\ ont publié ce billet de blog pour coïncider avec notre Black Hat USA 2020 Briefing , qui détaille comment les réseaux de neurones open source et pré-formés peuvent être exploités pour générer des médias synthétiques pour malveillancefins.Pour résumer notre présentation, nous démontrons d'abord trois preuves successives de concepts sur la façon dont les modèles d'apprentissage automatique peuvent être affinés afin de générer des supports synthétiques personnalisables dans les domaines texte, image et audio.Ensuite, nous illustrons des exemples dans lesquels les médias générés synthétiquement ont été armées pour des informations
FireEye\'s Data Science and Information Operations Analysis teams released this blog post to coincide with our Black Hat USA 2020 Briefing, which details how open source, pre-trained neural networks can be leveraged to generate synthetic media for malicious purposes. To summarize our presentation, we first demonstrate three successive proof of concepts for how machine learning models can be fine-tuned in order to generate customizable synthetic media in the text, image, and audio domains. Next, we illustrate examples in which synthetically generated media have been weaponized for information |
★★★★ | ||
|
2020-08-04 10:00:00 | Annonce du septième défi annuel Flare-on Announcing the Seventh Annual Flare-On Challenge (lien direct) |
 L'équipe Front Line Applied Research & Expertise (Flare) est honorée d'annoncer que le défi populaire Flare-On reviendra pour une septième année triomphante.Les événements mondiaux en cours ne se sont pas révélés à notre passion pour la création de puzzles stimulants et amusants pour tester et perfectionner les compétences en herbe et en inverse expérimentée.
Le concours commencera à 20h00.ET le 11 septembre 2020. Il s'agit d'un défi de style CTF pour tous les ingénieurs inverses actifs et en herbe, les analystes de logiciels malveillants et les professionnels de la sécurité.Le concours se déroule pendant six semaines complet et se termine à 20h00.ET le 23 octobre 2020.
th
The Front Line Applied Research & Expertise (FLARE) team is honored to announce that the popular Flare-On challenge will return for a triumphant seventh year. Ongoing global events proved no match against our passion for creating challenging and fun puzzles to test and hone the skills of aspiring and experienced reverse engineers.
The contest will begin at 8:00 p.m. ET on Sept. 11, 2020. This is a CTF-style challenge for all active and aspiring reverse engineers, malware analysts and security professionals. The contest runs for six full weeks and ends at 8:00 p.m. ET on Oct. 23, 2020.
Th |
Malware | ★★★ | |
|
2020-07-30 14:00:00 | Obscurci par les nuages: aperçu des attaques du bureau 365 et comment la défense gérée mandiante enquête Obscured by Clouds: Insights into Office 365 Attacks and How Mandiant Managed Defense Investigates (lien direct) |
Avec les compromis par e-mail commerciaux (BECS) ne montrant aucun signe de ralentissement Comprendre les violations du bureau 365 (O365) et comment les enquêter correctement.Ce billet de blog est destiné à ceux qui n'ont pas encore plongé les orteils dans les eaux d'un O365 BEC, fournissant un cours intensif sur la suite de productivité cloud de Microsoft et son assortiment de journaux et de sources de données utiles aux enquêteurs.Nous allons également passer en revue les tactiques d'attaquant courantes que nous avons observées en répondant aux BEC et fournissant un aperçu de la façon dont les analystes de défense gérés mandiants abordent ces
With Business Email Compromises (BECs) showing no signs of slowing down, it is becoming increasingly important for security analysts to understand Office 365 (O365) breaches and how to properly investigate them. This blog post is for those who have yet to dip their toes into the waters of an O365 BEC, providing a crash course on Microsoft\'s cloud productivity suite and its assortment of logs and data sources useful to investigators. We\'ll also go over common attacker tactics we\'ve observed while responding to BECs and provide insight into how Mandiant Managed Defense analysts approach these |
Cloud | ★★★★ | |
|
2020-07-28 09:15:00 | \\ 'Ghostwriter \\' Campagne d'influence: les acteurs inconnus exploitent les compromis sur le site Web et le contenu fabriqué pour pousser les récits alignés sur les intérêts de sécurité russes \\'Ghostwriter\\' Influence Campaign: Unknown Actors Leverage Website Compromises and Fabricated Content to Push Narratives Aligned With Russian Security Interests (lien direct) |
Mandiant Threat Intelligence a égalé plusieurs opérations d'information que nous évaluons avec une confiance modérée comprend une partie d'une campagne d'influence plus large de la campagne depuis au moins mars 2017, alignée avec les intérêts de sécurité russe.Les opérations ont principalement ciblé le public en Lituanie, en Lettonie et en Pologne avec des récits critiques de la présence de l'Organisation du Traité de l'Atlantique Nord (OTAN) en Europe, en tirant parfois parti d'autres thèmes tels que les anti-U.S.et les récits liés à Covid-19 dans le cadre de cet programme anti-NATA plus large.Nous avons surnommé cette campagne « Ghostwriter .»
Mandiant Threat Intelligence has tied together several information operations that we assess with moderate confidence comprise part of a broader influence campaign-ongoing since at least March 2017-aligned with Russian security interests. The operations have primarily targeted audiences in Lithuania, Latvia, and Poland with narratives critical of the North Atlantic Treaty Organization\'s (NATO) presence in Eastern Europe, occasionally leveraging other themes such as anti-U.S. and COVID-19-related narratives as part of this broader anti-NATO agenda. We have dubbed this campaign “Ghostwriter.” |
Threat | ★★★★ | |
|
2020-07-16 14:40:00 | CAPA: Identifiez automatiquement les capacités de logiciels malveillants capa: Automatically Identify Malware Capabilities (lien direct) |
capa est le nouvel outil open source de l'équipe Flare \\ pour analyser les programmes malveillants.Notre outil fournit un cadre pour que la communauté puisse encoder, reconnaître et partager des comportements que nous avons vus dans les logiciels malveillants.Quel que soit votre parcours, lorsque vous utilisez CAPA, vous invoquez des décennies d'expérience cumulative d'ingénierie inverse pour comprendre ce qu'un programme fait.Dans cet article, vous apprendrez comment fonctionne CAPA, comment installer et utiliser l'outil, et pourquoi vous devez l'intégrer dans votre flux de travail de triage à partir d'aujourd'hui.
Problème
Les analystes efficaces peuvent rapidement comprendre et hiérarchiser les fichiers inconnus dans
capa is the FLARE team\'s newest open-source tool for analyzing malicious programs. Our tool provides a framework for the community to encode, recognize, and share behaviors that we\'ve seen in malware. Regardless of your background, when you use capa, you invoke decades of cumulative reverse engineering experience to figure out what a program does. In this post you will learn how capa works, how to install and use the tool, and why you should integrate it into your triage workflow starting today. Problem Effective analysts can quickly understand and prioritize unknown files in |
Malware Tool | ★★★★ | |
|
2020-07-15 10:00:00 | Les acteurs à motivation financière étendent l'accès à l'OT: analyse des listes de mise à mort qui incluent des processus OT utilisés avec sept familles de logiciels malveillants Financially Motivated Actors Are Expanding Access Into OT: Analysis of Kill Lists That Include OT Processes Used With Seven Malware Families (lien direct) |
Mandiant Threat Intelligence a recherché et rédigé de nombreuses recherches sur l'activité de menace financière croissante impactant directement les réseaux de technologie opérationnelle (OT).Certaines de ces recherches sont disponibles dans nos précédents articles de blog sur post-compromise industrielleRansomware Et approche de Fireeye \\ pour la sécurité OT .Bien que la plupart des acteurs derrière cette activité ne se différencient probablement pas entre celui-ci et l'OT ou ont un intérêt particulier pour les actifs OT, ils sont motivés par le but de gagner de l'argent et ont démontré les compétences nécessaires pour fonctionner dans ces réseaux.Par exemple, le changement vers
Mandiant Threat Intelligence has researched and written extensively on the increasing financially motivated threat activity directly impacting operational technology (OT) networks. Some of this research is available in our previous blog posts on industrial post-compromise ransomware and FireEye\'s approach to OT security. While most of the actors behind this activity likely do not differentiate between IT and OT or have a particular interest in OT assets, they are driven by the goal of making money and have demonstrated the skills needed to operate in these networks. For example, the shift to |
Malware Threat Industrial | ★★★★ | |
|
2020-07-13 13:30:00 | Scandaleux!(Détection externe à l'aide des données de numérisation réseau et de l'automatisation) SCANdalous! (External Detection Using Network Scan Data and Automation) (lien direct) |
Real rapide
Au cas où vous seriez lancé par ce titre fantastique, nos avocats nous ont fait changer le nom de ce projet afin que nous ne soyons pas poursuivis.Scandalous-a.k.a.Scannah Montana A.K.A. Scanny McScanface A.K.A. «Scan I Kick It?(Oui, vous scannez) »- Avait un autre nom avant aujourd'hui que, pour des raisons juridiques, nous gardons nous-mêmes.Un merci spécial à notre équipe juridique qui est toujours à la recherche de nous, ce billet de blog serait beaucoup moins amusant sans eux.Sangle chez les gens.
Introduction
Advanced Practices est connu pour utiliser les données source primaires obtenues via Réponse d'incidence mandiante , Défense gérée , et
Real Quick In case you\'re thrown by that fantastic title, our lawyers made us change the name of this project so we wouldn\'t get sued. SCANdalous-a.k.a. Scannah Montana a.k.a. Scanny McScanface a.k.a. “Scan I Kick It? (Yes You Scan)”-had another name before today that, for legal reasons, we\'re keeping to ourselves. A special thanks to our legal team who is always looking out for us, this blog post would be a lot less fun without them. Strap in folks. Introduction Advanced Practices is known for using primary source data obtained through Mandiant Incident Response, Managed Defense, and |
★★★★ | ||
|
2020-07-07 13:00:00 | Configuration d'un domaine Windows pour analyser dynamiquement un outil de mouvement latéral obscurci Configuring a Windows Domain to Dynamically Analyze an Obfuscated Lateral Movement Tool (lien direct) |
Nous avons récemment rencontré un grand échantillon de logiciels malveillants obscurcis qui a offert plusieurs défis d'analyse intéressants.Il a utilisé la virtualisation qui nous a empêchés de produire un vidage de mémoire entièrement désobfusé pour une analyse statique.L'analyse statiquement d'un grand échantillon virtualisé peut prendre de plusieurs jours à plusieurs semaines.Le contournement de cette étape chronophage a présenté une opportunité de collaboration entre l'équipe d'ingénierie inverse de Flare et l'équipe de conseil Mandiant qui a finalement économisé de nombreuses heures d'ingénierie inverse difficile.
Nous avons soupçonné que l'échantillon était un mouvement latéral
We recently encountered a large obfuscated malware sample that offered several interesting analysis challenges. It used virtualization that prevented us from producing a fully-deobfuscated memory dump for static analysis. Statically analyzing a large virtualized sample can take anywhere from several days to several weeks. Bypassing this time-consuming step presented an opportunity for collaboration between the FLARE reverse engineering team and the Mandiant consulting team which ultimately saved many hours of difficult reverse engineering. We suspected the sample to be a lateral movement |
Malware Tool | ★★★★ | |
|
2020-05-14 10:00:00 | Utiliser des événements en temps réel dans les enquêtes Using Real-Time Events in Investigations (lien direct) |
Pour comprendre ce qu'un acteur de menace a fait sur un système Windows, les analystes se tournent souvent vers les sources éprouvées et réelles d'artefacts de point de terminaison historiques tels que la table de fichiers maître (MFT), les ruches de registre et le cache de compatibilité des applications (AppCompat).Cependant, ces sources de preuves n'ont pas été conçues avec la détection ou la réponse aux incidents à l'esprit;Les détails cruciaux peuvent être omis ou effacés par des méthodes anti-forsentes.En examinant les preuves historiques seules, un analyste peut ne pas voir l'histoire complète.
Les événements en temps réel peuvent être considérés comme des artefacts médico-légaux spécialement conçus pour la détection et l'incident
To understand what a threat actor did on a Windows system, analysts often turn to the tried and true sources of historical endpoint artifacts such as the Master File Table (MFT), registry hives, and Application Compatibility Cache (AppCompat). However, these evidence sources were not designed with detection or incident response in mind; crucial details may be omitted or cleared through anti-forensic methods. By looking at historical evidence alone, an analyst may not see the full story. Real-time events can be thought of as forensic artifacts specifically designed for detection and incident |
Threat | ★★★★ | |
|
2020-05-12 09:30:00 | Analyse du rat de cristal foncé, une porte dérobée C # Analyzing Dark Crystal RAT, a C# Backdoor (lien direct) |
le Fireeye Mandiant Threat Intelligence Team aide à protéger nos clients en suivant les cyberattaquants et les logiciels malveillants qu'ils utilisent.L'équipe Flare aide à augmenter notre intelligence des menaces en insensé des échantillons de logiciels malveillants en ingénierie.Récemment, Flare a travaillé sur une nouvelle variante C # de Dark Crystal Rat (DCRAT) que l'équipe d'Intel de menace nous a transmise.Nous avons examiné l'intelligence open source et les travaux antérieurs, effectué des tests de bac à sable et inversé le rat de cristal noir pour examiner ses capacités et son protocole de communication.En publiant ce billet de blog, nous visons à aider les défenseurs à rechercher des indicateurs de
The FireEye Mandiant Threat Intelligence Team helps protect our customers by tracking cyber attackers and the malware they use. The FLARE Team helps augment our threat intelligence by reverse engineering malware samples. Recently, FLARE worked on a new C# variant of Dark Crystal RAT (DCRat) that the threat intel team passed to us. We reviewed open source intelligence and prior work, performed sandbox testing, and reverse engineered the Dark Crystal RAT to review its capabilities and communication protocol. Through publishing this blog post we aim to help defenders look for indicators of |
Malware Threat | ★★★ | |
|
2020-05-07 18:00:00 | Navigation dans le labyrinthe: tactiques, techniques et procédures associées aux incidents de ransomware du labyrinthe Navigating the MAZE: Tactics, Techniques and Procedures Associated With MAZE Ransomware Incidents (lien direct) |
Les incidents de ransomwares ciblés ont entraîné une menace d'attaques perturbatrices et destructrices aux organisations des industries et des géographies.Fireeye Mandiant Threat Intelligence a précédemment documenté cette menace dans nos enquêtes sur tendances à travers les incidents de ransomware , Fin6 Activité , Implications pour les réseaux OT et d'autres aspects du déploiement des ransomwares post-compromis.Depuis novembre 2019, nous avons vu le ransomware du labyrinthe utilisé dans les attaques qui combinent l'utilisation des ransomwares ciblés, l'exposition publique des données de victime et un modèle d'affiliation.
Les acteurs malveillants ont activement déployé
Targeted ransomware incidents have brought a threat of disruptive and destructive attacks to organizations across industries and geographies. FireEye Mandiant Threat Intelligence has previously documented this threat in our investigations of trends across ransomware incidents, FIN6 activity, implications for OT networks, and other aspects of post-compromise ransomware deployment. Since November 2019, we\'ve seen the MAZE ransomware being used in attacks that combine targeted ransomware use, public exposure of victim data, and an affiliate model. Malicious actors have been actively deploying |
Ransomware Threat | ★★★★ | |
|
2020-04-28 12:30:00 | Analyse exceller, partie 2 - x [Lookup] gon \\ 'pivot to ya Excelerating Analysis, Part 2 - X[LOOKUP] Gon\\' Pivot To Ya (lien direct) |
En décembre 2019, nous avons publié un article de blog sur augmentationAnalyse utilisant Microsoft Excel Pour divers ensembles de données pour les enquêtes de réponse aux incidents.Comme nous l'avons décrit, les enquêtes incluent souvent des formats de journaux personnalisés ou propriétaires et divers artefacts médico-légaux non traditionnels.Il existe, bien sûr, une variété de façons de s'attaquer à cette tâche, mais Excel se distingue comme un moyen fiable d'analyser et de transformer la majorité des ensembles de données que nous rencontrons.
Dans notre premier article, nous avons discuté de résumer des artefacts verbeux en utilisant la fonction Concat, convertissant des horodatages en utilisant la fonction temporelle et en utilisant le
In December 2019, we published a blog post on augmenting analysis using Microsoft Excel for various data sets for incident response investigations. As we described, investigations often include custom or proprietary log formats and miscellaneous, non-traditional forensic artifacts. There are, of course, a variety of ways to tackle this task, but Excel stands out as a reliable way to analyze and transform a majority of data sets we encounter. In our first post, we discussed summarizing verbose artifacts using the CONCAT function, converting timestamps using the TIME function, and using the |
★★★★ | ||
|
2020-04-27 07:30:00 | (Déjà vu) Mettre le modèle au travail: activer les défenseurs avec une intelligence de vulnérabilité - Intelligence pour la gestion de la vulnérabilité, la quatrième partie Putting the Model to Work: Enabling Defenders With Vulnerability Intelligence - Intelligence for Vulnerability Management, Part Four (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Les organisations doivent souvent faire des choix difficiles en ce qui concerne la priorisation des correctifs.Beaucoup sont confrontés à la sécurisation complexe
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Organizations often have to make difficult choices when it comes to patch prioritization. Many are faced with securing complex |
Vulnerability Threat | ★★★ | |
|
2020-04-22 09:00:00 | Acteurs de menace vietnamiens APT32 ciblant le gouvernement de Wuhan et le ministère chinois de la gestion des urgences dans le dernier exemple de l'espionnage lié à Covid-19 Vietnamese Threat Actors APT32 Targeting Wuhan Government and Chinese Ministry of Emergency Management in Latest Example of COVID-19 Related Espionage (lien direct) |
De Janvier à avril 2020, des acteurs vietnamiens présumés APT32 ont mené des campagnes d'intrusion contre les cibles chinoises qui, selon Maniant, mention, ont été conçues pour collecter des renseignements sur la crise de Covid-19.Les messages de phishing de lance ont été envoyés par l'acteur au ministère de la gestion des urgences de la Chine ainsi que par le gouvernement de la province de Wuhan, où Covid-19 a été identifié pour la première fois.Bien que le ciblage de l'Asie de l'Est soit cohérent avec les activité que nous avons précédemment signalée sur APT32 , cet incidentet d'autres intrusions publiquement signalées font partie d'une augmentation mondiale du cyber
From at least January to April 2020, suspected Vietnamese actors APT32 carried out intrusion campaigns against Chinese targets that Mandiant Threat Intelligence believes was designed to collect intelligence on the COVID-19 crisis. Spear phishing messages were sent by the actor to China\'s Ministry of Emergency Management as well as the government of Wuhan province, where COVID-19 was first identified. While targeting of East Asia is consistent with the activity we\'ve previously reported on APT32, this incident, and other publicly reported intrusions, are part of a global increase in cyber |
Threat | APT 32 APT 32 | ★★★★ |
|
2020-04-20 07:00:00 | (Déjà vu) Séparer le signal du bruit: comment les renseignements mandiants évaluent les vulnérabilités - Intelligence pour la gestion des vulnérabilités, troisième partie Separating the Signal from the Noise: How Mandiant Intelligence Rates Vulnerabilities - Intelligence for Vulnerability Management, Part Three (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, FireEye Mandiant Threat Intelligence met en évidence la valeur de CTI dans la gestion de la vulnérabilité, et dévoile de nouvelles recherches sur les dernières menaces, tendances et recommandations.
Chaque praticien de la sécurité de l'information sait que les vulnérabilités de correction sont l'une des premières étapes vers un sain et bien
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Every information security practitioner knows that patching vulnerabilities is one of the first steps towards a healthy and well |
Vulnerability Threat | ★★★★ | |
|
2020-04-13 07:00:00 | (Déjà vu) Pensez vite: temps entre la divulgation, la libération des patchs et l'exploitation de la vulnérabilité - Intelligence pour la gestion de la vulnérabilité, deuxième partie Think Fast: Time Between Disclosure, Patch Release and Vulnerability Exploitation - Intelligence for Vulnerability Management, Part Two (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de CTI pour permettre la gestion de la vulnérabilité, et dévoile et dévoile CTIDe nouvelles recherches sur les dernières menaces, tendances et recommandations.Consultez notre premier article sur vulnérabilités zéro-jour .
Les attaquants sont en cours de course constante pour exploiter les vulnérabilités nouvellement découvertes
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. Check out our first post on zero-day vulnerabilities. Attackers are in a constant race to exploit newly discovered vulnerabilities |
Vulnerability Threat | ★★ | |
|
2020-04-08 11:15:00 | Chart limité dans le paysage cyber-menace entraîné par Covid-19 Limited Shifts in the Cyber Threat Landscape Driven by COVID-19 (lien direct) |
Bien que Covid-19 ait eu d'énormes effets sur notre société et notre économie, ses effets sur le paysage cyber-menace restent limités.Pour la plupart, les mêmes acteurs que nous avons toujours suivis se comportent de la même manière qu'avant la crise.Il y a de nouveaux défis, mais ils sont perceptibles, et nous-et nos clients sont prêts à poursuivre ce combat à travers cette période de changement sans précédent.
Les changements importants du paysage des menaces que nous suivons actuellement comprennent:
L'augmentation soudaine majeure d'une main-d'œuvre à distance a changé la nature et la vulnérabilité de l'entreprise
Though COVID-19 has had enormous effects on our society and economy, its effects on the cyber threat landscape remain limited. For the most part, the same actors we have always tracked are behaving in the same manner they did prior to the crisis. There are some new challenges, but they are perceptible, and we-and our customers-are prepared to continue this fight through this period of unprecedented change. The significant shifts in the threat landscape we are currently tracking include: The sudden major increase in a remote workforce has changed the nature and vulnerability of enterprise |
Vulnerability Threat | ★★★ | |
|
2020-04-06 07:00:00 | L'exploitation zéro-jour démontre de plus en plus l'accès à l'argent plutôt qu'à la compétence - intelligence pour la gestion de la vulnérabilité, la première partie Zero-Day Exploitation Increasingly Demonstrates Access to Money, Rather than Skill - Intelligence for Vulnerability Management, Part One (lien direct) |
L'un des rôles stratégiques et tactiques critiques que joue la cyber-menace d'intelligence (CTI).risque.Dans cette série de blogs en quatre parties, Fireeye Mandiant Threat Intelligence met en évidence la valeur de la CTI pour permettre la gestion des vulnérabilité, et les dévoilementsNouvelles recherches sur les dernières menaces, tendances et recommandations.
Fireeye Mandiant Threat Intelligence a documenté plus de jours zéro exploités en 2019 que toutes les trois années précédentes.Bien que pas
One of the critical strategic and tactical roles that cyber threat intelligence (CTI) plays is in the tracking, analysis, and prioritization of software vulnerabilities that could potentially put an organization\'s data, employees and customers at risk. In this four-part blog series, FireEye Mandiant Threat Intelligence highlights the value of CTI in enabling vulnerability management, and unveils new research into the latest threats, trends and recommendations. FireEye Mandiant Threat Intelligence documented more zero-days exploited in 2019 than any of the previous three years. While not |
Vulnerability Threat | ★★★ | |
|
2020-04-02 10:00:00 | Fakennet Genie: Amélioration de l'analyse dynamique des logiciels malveillants avec des codes de triche pour fakennet-ng FakeNet Genie: Improving Dynamic Malware Analysis with Cheat Codes for FakeNet-NG (lien direct) |
En tant que développeurs de l'outil de simulation de réseau FAKENET-NG, ingénieurs inverses de l'équipe Fireeye Flare et instructeurs d'analyse de logiciels malveillants, nous voyons comment différents analystes utilisent Fakennet-NG et les défis auxquels ils sont confrontés.Nous avons appris que Fakennet-NG fournit de nombreuses fonctionnalités et solutions utiles dont nos utilisateurs ignorent souvent.Dans cet article de blog, nous présenterons certains codes de triche pour améliorer votre analyse de réseau avec Fakennet-NG.Nous introduirons des réponses personnalisées et présenterons des fonctionnalités puissantes telles que l'exécution de commandes sur les événements de connexion et le décryptage du trafic SSL.
depuis son premier
As developers of the network simulation tool FakeNet-NG, reverse engineers on the FireEye FLARE team, and malware analysis instructors, we get to see how different analysts use FakeNet-NG and the challenges they face. We have learned that FakeNet-NG provides many useful features and solutions of which our users are often unaware. In this blog post, we will showcase some cheat codes to level up your network analysis with FakeNet-NG. We will introduce custom responses and demonstrate powerful features such as executing commands on connection events and decrypting SSL traffic. Since its first |
Malware Tool | ★★★ | |
|
2020-04-01 11:00:00 | Billets de Kerberos sur les équipes rouges Linux Kerberos Tickets on Linux Red Teams (lien direct) |
à Fireeye mandiant , nous effectuons de nombreux engagements d'équipe rouge dans les environnements Windows Active Directory.Par conséquent, nous rencontrons fréquemment des systèmes Linux intégrés dans les environnements Active Directory.Le compromis d'un système Linux individuel joiné de domaine peut fournir des données utiles en soi, mais la meilleure valeur consiste à obtenir des données, telles que les billets de Kerberos, qui faciliteront les techniques de mouvement latéral.En passant ces billets Kerberos à partir d'un système Linux, il est possible de se déplacer latéralement d'un système Linux compromis au reste du domaine Active Directory.
il y a plusieurs
At FireEye Mandiant, we conduct numerous red team engagements within Windows Active Directory environments. Consequently, we frequently encounter Linux systems integrated within Active Directory environments. Compromising an individual domain-joined Linux system can provide useful data on its own, but the best value is obtaining data, such as Kerberos tickets, that will facilitate lateral movement techniques. By passing these Kerberos Tickets from a Linux system, it is possible to move laterally from a compromised Linux system to the rest of the Active Directory domain. There are several |
★★★★ | ||
|
2020-03-31 10:00:00 | C'est votre argent et ils le veulent maintenant - le cycle de la poursuite de l'adversaire It\\'s Your Money and They Want It Now - The Cycle of Adversary Pursuit (lien direct) |
Lorsque nous découvrons de nouvelles intrusions, nous nous posons des questions qui nous aideront à comprendre la totalité de l'ensemble d'activités.
Quelle est la fréquence de cette activité?Y a-t-il quelque chose d'unique ou de spécial dans ce logiciel malveillant ou cette campagne?Qu'est-ce qui est nouveau et qu'est-ce qui est ancien en termes de TTPS ou d'infrastructures?Est-ce que cela est vu ailleurs?Quelles informations ai-je qui soutiennent la nature de cet acteur de menace?
Pour suivre un adversaire rapide au fil du temps, nous exploitons des données d'intrusion organiques, pivotons à d'autres ensembles de données, et rendons ces connaissances exploitables pour les analystes et les répondeurs incidents, permettant de nouveaux
When we discover new intrusions, we ask ourselves questions that will help us understand the totality of the activity set. How common is this activity? Is there anything unique or special about this malware or campaign? What is new and what is old in terms of TTPs or infrastructure? Is this being seen anywhere else? What information do I have that substantiates the nature of this threat actor? To track a fast-moving adversary over time, we exploit organic intrusion data, pivot to other data sets, and make that knowledge actionable for analysts and incident responders, enabling new |
Malware Threat | ★★★ | |
|
2020-03-27 14:00:00 | Ingénierie sociale basée sur le projet de loi de relance et les systèmes de rémunération financière Covid-19 qui devraient croître dans les semaines à venir Social Engineering Based on Stimulus Bill and COVID-19 Financial Compensation Schemes Expected to Grow in Coming Weeks (lien direct) |
Compte tenu de l'intérêt communautaire et de la couverture médiatique entourant le projet de loi sur la relance économique actuellement examiné par la Chambre des représentants des États-Unis, nous prévoyons que les attaquants tiendront de plus en plus des leurres adaptés au nouveau projet de loi de relance et aux efforts de rétablissement connexes tels que les chèques de relance, la compensation de chômageet les prêts aux petites entreprises.Bien que les campagnes employant des thèmes pertinentes à ces questions commencent à être adoptées par des acteurs de la menace, nous nous attendons à de futures campagnes prudemment celles perpétrées par des acteurs de menace motivés financièrement pour incorporer ces thèmes dans
Given the community interest and media coverage surrounding the economic stimulus bill currently being considered by the United States House of Representatives, we anticipate attackers will increasingly leverage lures tailored to the new stimulus bill and related recovery efforts such as stimulus checks, unemployment compensation and small business loans. Although campaigns employing themes relevant to these matters are only beginning to be adopted by threat actors, we expect future campaigns-primarily those perpetrated by financially motivated threat actors-to incorporate these themes in |
Threat | ★★★ | |
|
2020-03-25 07:00:00 | Ce n'est pas un test: APT41 lance une campagne d'intrusion mondiale en utilisant plusieurs exploits This Is Not a Test: APT41 Initiates Global Intrusion Campaign Using Multiple Exploits (lien direct) |
À partir de cette année, Fireeye a observé chinoisL'acteur APT41 Effectuer l'une des campagnes les plus larges d'un acteur de cyber-espionnage chinois que nous avons observé ces dernières années.Entre le 20 janvier et le 11 mars, Fireeye a observé apt41 Exploiter les vulnérabilités dans Citrix NetScaler / ADC , les routeurs Cisco, et Zoho ManageEngine Desktop Central dans plus de 75 clients Fireeye.Les pays que nous avons vus ciblés comprennent l'Australie, le Canada, le Danemark, la Finlande, la France, l'Inde, l'Italie, le Japon, la Malaisie, le Mexique, les Philippines, la Pologne, le Qatar, l'Arabie saoudite, Singapour, la Suède, la Suisse, les Émirats arabes unis, le Royaume-Uni et les États-Unis.Le suivant
Beginning this year, FireEye observed Chinese actor APT41 carry out one of the broadest campaigns by a Chinese cyber espionage actor we have observed in recent years. Between January 20 and March 11, FireEye observed APT41 attempt to exploit vulnerabilities in Citrix NetScaler/ADC, Cisco routers, and Zoho ManageEngine Desktop Central at over 75 FireEye customers. Countries we\'ve seen targeted include Australia, Canada, Denmark, Finland, France, India, Italy, Japan, Malaysia, Mexico, Philippines, Poland, Qatar, Saudi Arabia, Singapore, Sweden, Switzerland, UAE, UK and USA. The following |
Vulnerability | APT 41 APT 41 APT-C-17 | ★★★ |
|
2020-03-23 07:00:00 | Surveillance des outils de cyber-opération ICS et des modules d'exploitation de logiciels pour anticiper les menaces futures Monitoring ICS Cyber Operation Tools and Software Exploit Modules To Anticipate Future Threats (lien direct) |
Il n'y a eu qu'un petit nombre de cyberattaques largement documentées ciblant les technologies opérationnelles (OT) / systèmes de contrôle industriel (ICS) au cours de la dernière décennie.Bien que moins d'attaques soit clairement une bonne chose, l'absence d'une taille d'échantillon adéquate pour déterminer les seuils de risque peut rendre difficile pour les défenseurs de comprendre l'environnement de menace, de hiérarchiser les efforts de sécurité et de justifier l'allocation des ressources.
Pour résoudre ce problème, Fireeye Mandiant Threat Intelligence produit une gamme de rapports pour abonnement Les clients qui se concentrent sur différents indicateurs pour prédire les menaces futures
There has only been a small number of broadly documented cyber attacks targeting operational technologies (OT) / industrial control systems (ICS) over the last decade. While fewer attacks is clearly a good thing, the lack of an adequate sample size to determine risk thresholds can make it difficult for defenders to understand the threat environment, prioritize security efforts, and justify resource allocation. To address this problem, FireEye Mandiant Threat Intelligence produces a range of reports for subscription customers that focus on different indicators to predict future threats |
Tool Threat Industrial Prediction | ★★★★ | |
|
2020-03-17 12:00:00 | Six faits sur la disposition de la disposition de l'espace d'adressage sur Windows Six Facts about Address Space Layout Randomization on Windows (lien direct) |
Surmonter la randomisation de mise en page d'espace d'adressage (ASLR) est une condition préalable à pratiquement toutes les vulnérabilités de corruption de la mémoire moderne.La rupture de l'ASLR est un domaine de recherche active et peut devenir incroyablement compliquée.Cet article de blog présente quelques faits de base sur l'ASLR, en se concentrant sur l'implémentation Windows.En plus de couvrir ce que l'ASLR accomplit pour améliorer la posture de sécurité, nous visons à donner aux défenseurs des conseils sur la façon d'améliorer la sécurité de leur logiciel et de donner aux chercheurs plus d'informations sur le fonctionnement et les idées ASLR pour étudier ses limites.
Vulnérabilités de la corruption de la mémoire
Overcoming address space layout randomization (ASLR) is a precondition of virtually all modern memory corruption vulnerabilities. Breaking ASLR is an area of active research and can get incredibly complicated. This blog post presents some basic facts about ASLR, focusing on the Windows implementation. In addition to covering what ASLR accomplishes to improve security posture, we aim to give defenders advice on how to improve the security of their software, and to give researchers more insight into how ASLR works and ideas for investigating its limitations. Memory corruption vulnerabilities |
★★★ | ||
|
2020-03-16 10:30:00 | Ils viennent dans la nuit: tendances de déploiement des ransomwares They Come in the Night: Ransomware Deployment Trends (lien direct) |
Ransomware est un shakedown numérique éloigné.Il est perturbateur et coûteux, et il affecte toutes sortes d'organisations, à partir de Cutting Edge Technologie spatiale Firms, aux Woolindustrie , à | Ransomware Threat Industrial | ★★★ | |
|
2020-03-09 11:00:00 | Crescendo: Visionneuse d'événements en temps réel pour macOS Crescendo: Real Time Event Viewer for macOS (lien direct) |
Avant 2017, les chercheurs ne pouvaient pas surveiller facilement les actions effectuées par un processus sur MacOS et devaient recourir à des scripts de codage qui produisaient des données d'appel système de bas niveau.FireEye a publié monitor.app en 2017 qui a permis la collecte d'informations sur macOS à un niveau supérieur;à un ensemble de données simplifié par rapport à quelque chose comme dtrace .J'ai créé de nombreuses versions de Monitor.App au fil des ans et j'ai reçu des commentaires très positifs des utilisateurs.Récemment, les utilisateurs ont remarqué que cela ne fonctionne pas sur MacOS Catalina (10.15) ...
À l'origine, une extension du noyau était nécessaire pour fournir l'inspection
Prior to 2017, researchers couldn\'t easily monitor actions performed by a process on macOS and had to resort to coding scripts that produced low level system call data. FireEye released Monitor.app in 2017 that enabled collection of information on macOS at a higher level; at a simplified data set versus something like Dtrace. I created many versions of Monitor.app over the years and have received very positive feedback from users. Recently though, users have noticed it doesn\'t work on macOS Catalina (10.15)... Originally, a kernel extension was required to provide the inspection |
★★★★ | ||
|
2020-03-06 17:00:00 | Élever les femmes en cybersécurité au statut de super-héros Elevating Women in Cyber Security to Superhero Status (lien direct) |
Dans le monde des bandes dessinées et de la fiction connexe, les super-héros se présentent sous toutes les formes, formes et tailles, et d'horizons et univers. différents.
DC Comics a présenté le premier super-héros tel que nous les connaissons aujourd'hui, Superman, dans Action Comics # 1 en 1938. L'année suivante, DC Comics nous a présenté Batman dans Détective Comics # 27 .
Avec l'énorme succès de ces débuts, la création d'un autre super-héros masculin aurait été une évidence pour DC Comics.Au lieu de cela, ils nous ont donné Wonder Woman dans All-Star Comics # 8 en 1941. Wonder Woman est arrivé sur les lieux armés d'intelligence, de force et de son lasso
In the world of comics and related fiction, superheroes come in all forms, shapes and sizes, and from different backgrounds and universes. DC Comics introduced the first superhero as we know them today, Superman, in Action Comics #1 in 1938. The following year DC Comics introduced us to Batman in Detective Comics #27. With the enormous success of these debuts, creating another male superhero would have been a no-brainer for DC Comics. Instead, they gave us Wonder Woman in All-Star Comics #8 in 1941. Wonder Woman arrived on the scene armed with intelligence, strength and her Lasso of |
★ | ||
|
2020-02-24 23:30:00 | Ransomware contre la machine: comment les adversaires apprennent à perturber la production industrielle en le ciblant et en OT Ransomware Against the Machine: How Adversaries are Learning to Disrupt Industrial Production by Targeting IT and OT (lien direct) |
Depuis au moins 2017, il y a eu une augmentation significative des divulgations publiques des incidents de ransomwares ayant un impact sur la production industrielle et les organisations d'infrastructures critiques.Des familles de ransomwares bien connues comme Wannacry,Lockergoga, Megacortex, Ryuk, Maze, et maintenant Snakehose (alias Snake / Ekans), ont des victimes de coûts dans une variété de verticales de l'industrie plusieurs millions de dollarsen rançon et en coûts de garantie.Ces incidents ont également entraîné des perturbations et des retards importants sur les processus physiques qui permettent aux organisations de produire et de fournir des biens et services.
tandis que beaucoup
Since at least 2017, there has been a significant increase in public disclosures of ransomware incidents impacting industrial production and critical infrastructure organizations. Well-known ransomware families like WannaCry, LockerGoga, MegaCortex, Ryuk, Maze, and now SNAKEHOSE (a.k.a. Snake / Ekans), have cost victims across a variety of industry verticals many millions of dollars in ransom and collateral costs. These incidents have also resulted in significant disruptions and delays to the physical processes that enable organizations to produce and deliver goods and services. While lots |
Ransomware Industrial | Wannacry | ★★★ |
|
2020-02-20 13:00:00 | M-Trends 2020: Insignes des lignes de front M-Trends 2020: Insights From the Front Lines (lien direct) |
Aujourd'hui, nous publions M-Trends 2020 , l'édition 11 th de notre populaire rapport annuel Fireeye Mandiant.Cette dernière M-Trends contient toutes les statistiques, les tendances, les études de cas et les recommandations de durcissement auxquelles les lecteurs s'attendent au cours des années et plus.
L'un des plats les plus excitants du rapport de cette année: le temps de résidence médiane mondiale est maintenant de 56 jours.Cela signifie que l'attaquant moyen ne fait pas partie d'un réseau pendant moins de deux mois-an M-Trends en premier.Il s'agit d'une statistique très prometteuse qui démontre jusqu'où nous venons depuis 2011, lorsque le temps de résidence médian mondiale était de 416
Today we release M-Trends 2020, the 11th edition of our popular annual FireEye Mandiant report. This latest M-Trends contains all of the statistics, trends, case studies and hardening recommendations that readers have come to expect through the years-and more. One of the most exciting takeaways from this year\'s report: the global median dwell time is now 56 days. That means the average attacker is going undetected on a network for under two months-an M-Trends first. This is a very promising statistic that demonstrates how far we\'ve come since 2011 when the global median dwell time was 416 |
Studies | ★★★ | |
|
2020-02-19 18:30:00 | LNK manquant - Corrélation des fichiers LNK de recherche d'utilisateurs The Missing LNK - Correlating User Search LNK files (lien direct) |
Les enquêteurs médico-légaux utilisent des fichiers de raccourci LNK pour récupérer les métadonnées sur les fichiers récemment consultés, y compris les fichiers supprimés après l'heure de l'accès.Dans une enquête récente, FireEye Mandiant a rencontré des fichiers LNK qui indiquaient un attaquant accessible aux fichiers inclus dans les résultats de recherche Windows Explorer.D'après notre expérience, il s'agissait d'une nouvelle combinaison d'artefacts médico-légaux.Nous sommes ravis de partager nos résultats car ils aident à peindre une image plus complète des actions et des objectifs d'un attaquant sur les systèmes ciblés.De plus, ces résultats peuvent également être exploités pour les cas de menaces d'initiés afin de déterminer
Forensic investigators use LNK shortcut files to recover metadata about recently accessed files, including files deleted after the time of access. In a recent investigation, FireEye Mandiant encountered LNK files that indicated an attacker accessed files included in Windows Explorer search results. In our experience, this was a new combination of forensic artifacts. We\'re excited to share our findings because they help to paint a more complete picture of an attacker\'s actions and objectives on targeted systems. Further, these findings can also be leveraged for insider threat cases to determine |
Threat | ★★★★ | |
|
2020-02-12 12:30:00 | Opération d'information "éminent l'identité" qui a précédemment imité les politiciens et les journalistes américains sur les réseaux sociaux fabriqués des personnages libéraux américains pour promouvoir les intérêts iraniens "Distinguished Impersonator" Information Operation That Previously Impersonated U.S. Politicians and Journalists on Social Media Leverages Fabricated U.S. Liberal Personas to Promote Iranian Interests (lien direct) |
En mai 2019, FireEye Threat Intelligence a publié un article de blog exposant un réseau de comptes de médias sociaux en anglais qui se sont engagés dans un comportement inauthentique et une fausse déclaration que nous avons évalués avec une faible confiance a été organisé pour soutenir les intérêts politiques iraniens.Les personnages de ce réseau ont usurpé l'identité des candidats aux sièges de la Chambre des représentants des États-Unis en 2018 et ont mis à profit des personnages de journalistes fabriqués pour solliciter diverses personnes, y compris de vrais journalistes et politiciens, pour des interviews destinées à renforcer les récits politiques souhaités.Depuis la sortie de ce billet de blog, nous
In May 2019, FireEye Threat Intelligence published a blog post exposing a network of English-language social media accounts that engaged in inauthentic behavior and misrepresentation that we assessed with low confidence was organized in support of Iranian political interests. Personas in that network impersonated candidates for U.S. House of Representatives seats in 2018 and leveraged fabricated journalist personas to solicit various individuals, including real journalists and politicians, for interviews intended to bolster desired political narratives. Since the release of that blog post, we |
Threat | ★★★ | |
|
2020-02-11 17:00:00 | Défense gérée: l'état d'esprit analytique Managed Defense: The Analytical Mindset (lien direct) |
En ce qui concerne la cybersécurité (services gérés ou autrement), vous dépendriez en fin de compte de l'expertise des analystes pour assurer la sécurité de votre environnement.Les produits et l'intelligence sont les éléments nécessaires du puzzle de sécurité pour générer le signal de détection et réduisez la balle d'alerte, mais en fin de compte, les yeux formés d'un analyste sont les facteurs décisifs en passant efficacement des alertes aux réponses dans votreorganisation.
Ce billet de blog met en évidence les événements d'une enquête récente de Défense gérée pour présenter l'outillage d'investigation etProcessus d'analyse de nos analystes.
t
When it comes to cyber security (managed services or otherwise), you\'re ultimately reliant on analyst expertise to keep your environment safe. Products and intelligence are necessary pieces of the security puzzle to generate detection signal and whittle down the alert chaff, but in the end, an analyst\'s trained eyes and investigative process are the deciding factors in effectively going from alerts to answers in your organization. This blog post highlights the events of a recent investigation by Managed Defense to showcase the investigative tooling and analysis process of our analysts. T |
★★★ |
To see everything:
Our RSS (filtrered)
