What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2013-02-19 07:00:45 | Mandiant expose APT1 & # 8211;L'une des unités de cyber-espionnage de Chine et libère 3 000 indicateurs Mandiant Exposes APT1 – One of China\\'s Cyber Espionage Units & Releases 3,000 Indicators (lien direct) |
Aujourd'hui, le Mandiant & Reg;Intelligence Center ™ a publié un rapport sans précédent Exposer la campagne d'espionnage informatique de l'APT1 \\ à l'échelle de l'entreprise.APT1 est l'une des dizaines de groupes de menaces, des pistes mandiantes du monde entier et nous le considérons comme l'un des plus prolifiques en termes de quantité d'informations qu'elle a volée.
Les faits saillants du rapport incluent:
Preuve liant APT1 au 2e Bureau de la Chine de la Chine du Département général de l'Armée de libération (PLA) \'s (GSD) 3e département (désignateur de couverture militaire 61398).
Une chronologie de l'espionnage économique de l'APT1 réalisée depuis 2006
Today, The Mandiant® Intelligence Center™ released an unprecedented report exposing APT1\'s multi-year, enterprise-scale computer espionage campaign. APT1 is one of dozens of threat groups Mandiant tracks around the world and we consider it to be one of the most prolific in terms of the sheer quantity of information it has stolen. Highlights of the report include: Evidence linking APT1 to China\'s 2nd Bureau of the People\'s Liberation Army (PLA) General Staff Department\'s (GSD) 3rd Department (Military Cover Designator 61398). A timeline of APT1 economic espionage conducted since 2006 |
Threat | APT 1 | ★★★★ |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ | |
|
2011-07-20 23:05:35 | Déchirant le registre de Windows avec un réglage de Python Tearing up the Windows Registry with python-registry (lien direct) |
Récemment, je voulais creuser profondément dans un artefact médico-légal résidant dans le registre de Windows.Pour rendre la tâche plus intéressante, je me suis mis au défi d'utiliser uniquement des outils natifs de mon système d'exploitation préféré: Linux.J'ai été rapidement déçu, cependant, car il y a peu d'outils ouverts et multiplateformes pour le registre de Windows Registry au-delà du registre Win32 :: de Perl \\.J'ai donc écrit un outil pour combler ce vide à l'aide de Python - mon langage de programmation préféré.Python-Registry est le résultat de cet effort et offre un accès pratique aux fichiers de registre Windows.Puisqu'il est pur python, il peut être utilisé sur tous les principaux
Recently, I wanted to dig deep into a forensic artifact resident in the Windows Registry. To make the task more interesting, I challenged myself to use only tools native to my favorite operating system: Linux. I was quickly disappointed, however, as there are few open and cross-platform tools for Windows Registry forensics beyond Perl\'s Win32::Registry. So, I wrote a tool to fill this void using Python - my favorite programming language. Python-registry is the result of this effort, and provides convenient access to Windows Registry files. Since it is pure Python, it can be used on all major |
Tool Technical | ★★★★ | |
|
2010-09-23 12:06:18 | Chasser les serveurs CNC - Faux positifs Chasing CnC Servers - False positives (lien direct) |
Dans mon dernier article, j'ai discuté à quel point il peut être difficile de suivre les botnets via leurs serveurs de commande et de contrôle (CNC).Mon dernier article était plus axé sur l'aspect faux négatifs (détections manquées) de cette approche.Aujourd'hui, je vais discuter en détail du problème de faux positifs (alertes / détections incorrectes).
Le suivi des botnets via les serveurs CNC nécessite quelques hypothèses.L'une de ces hypothèses est que "chaque CNC est une mauvaise ressource ou se distingue au moins des bonnes".Ce n'est pas complètement vrai.Cela semble étrange?Laissez-moi expliquer.
Il existe de nombreux cas possibles où un CNC
In my last article, I discussed how tricky it can be to track botnets through their command and control (CnC) servers. My last article was more focused on the false negatives (missed detections) aspect of this approach. Today, I will discuss the false positive (incorrect alerts/detections) issue in detail. Tracking botnets through the CnC servers requires a few assumptions. One such assumption is that "every CnC is a bad resource or is at least distinguishable from the good ones". That\'s not completely true. Sounds strange? Let me explain. There are many possible cases where a CnC |
★★★★ | ||
|
2010-08-16 10:16:00 | Inversion de la commande et du contrôle des logiciels malveillants: des sockets au com Reversing Malware Command and Control: From Sockets to COM (lien direct) |
Sur un hôte Windows, il existe plus d'une façon pour qu'un programme communique sur Internet.Lors de l'ingénierie inverse d'un malware, il est d'une importance cruciale de comprendre quelle API est utilisée et comment elle fonctionne afin que vous puissiez comprendre les données envoyées et reçues ainsi que la structure de commande et le protocole interne le cas échéant.Le choix de l'API de réseautage affecte également la façon dont vous élaborez vos indicateurs (plus à ce sujet plus tard).Je brise les communications de commande et de contrôle des logiciels malveillants Windows en quatre catégories d'API: sockets, wininet, urlmon et com.L'objectif principal de ce
On a Windows host there is more than one way for a program to communicate across the internet. When reverse engineering a piece of malware it is of critical importance to understand what API is being used and how it works so that you may gain an understanding of the data sent and received as well as command structure and internal protocol if applicable. The choice of networking API also effects how you craft your indicators (more on this later). I break Windows Malware Command and Control communications into four API categories: Sockets, WinInet, URLMon and COM. The primary focus of this |
Malware | ★★★ | |
|
2010-07-15 16:13:00 | Persistance des logiciels malveillants sans le registre Windows Malware Persistence without the Windows Registry (lien direct) |
Pour qu'un attaquant maintienne un pied dans votre réseau, il installera généralement un malware de mal de porte dérobée sur au moins un de vos systèmes.Le malware doit être installé de manière persistante, ce qui signifie qu'elle restera active en cas de redémarrage.La plupart des techniques de persistance sur une plate-forme Microsoft Windows impliquent l'utilisation du registre.Les exceptions notables incluent le dossier de démarrage et les binaires du système de trojanisation.L'examen des emplacements de persistance des logiciels malveillants dans le registre Windows et les emplacements de démarrage est une technique courante utilisée par les enquêteurs médico-légaux pour identifier les logiciels malveillants sur un
For an attacker to maintain a foothold inside your network they will typically install a piece of backdoor malware on at least one of your systems. The malware needs to be installed persistently, meaning that it will remain active in the event of a reboot. Most persistence techniques on a Microsoft Windows platform involve the use of the Registry. Notable exceptions include the Startup Folder and trojanizing system binaries. Examining malware persistence locations in the Windows Registry and startup locations is a common technique employed by forensic investigators to identify malware on a |
Malware | ★★★★ | |
|
2010-06-16 12:35:03 | Historien du Web: rechargé Web Historian: Reloaded (lien direct) |
Nous avons été occupés ici sur l'agent d'équipe de Mandiant.Dans l'esprit de notre soutien de longue date des logiciels libres dans la communauté des réponses aux incidents, nous sommes heureux d'annoncer la sortie de Historian 2.0 .Cette version est une réécriture et une refonte complètes de notre outil d'extraction d'historique Web très populaire.Cette version de l'historien Web est livrée avec des fonctionnalités et prend en charge les versions Firefox 2/3 +, Chrome 3+ et Internet Explorer 5 à 8. Voici un rapide délabrement de certaines des nouvelles fonctionnalités:
Collecte l'histoire du Web, l'historique des cookies, l'historique de téléchargement de fichiers et l'historique des formulaires dans les ensembles de données
Simple
We\'ve been busy here on team agent at MANDIANT. In the spirit of our long-standing support of free software in the Incident Response community, we are happy to announce the release of Web Historian 2.0. This release is a complete rewrite and revamp of our very popular web history extraction tool. This version of Web Historian comes packed with features and supports Firefox 2/3+, Chrome 3+, and Internet Explorer versions 5 through 8. Here is a quick run-down of some of the new features: Collects web history, cookie history, file download history, and form history into data sets Simple |
General Information | ★★ |
To see everything:
Our RSS (filtrered)
