What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2023-09-03 18:00:04 | Le secret du 961C151D2E87F2686A955A9BE24D316F1362BF21 The secret of 961c151d2e87f2686a955a9be24d316f1362bf21 (lien direct) |
Un récemment est tombé sur un échantillon qui comprenait la chaîne mystérieuse suivante: j'ai googlé et non seulement j'ai trouvé quelques occurrences supplémentaires de cette chaîne, mais j'ai également trouvé une règle Yara (avertissement PDF) qui l'a fait référence.J'ai dû & # 8230; continuer la lecture & # 8594;/ span>
A recently came across a sample that included the following, mysterious string: I googled around and not only found a few more occurrences of this string, but also found a yara rule (PDF warning) that referenced it. I had to … Continue reading → |
Technical | ★★★ | |
|
2023-08-25 23:05:18 | Des lolbins pour les connaisseurs… Lolbins for connoisseurs… (lien direct) |
Nous sommes tous assez obsédés par la pureté des lolbins.Mieux encore, s'il s'agit d'un comportement caché/non documenté/inattendu d'un binaire natif du système d'exploitation qui peut être abusé à des fins néfastes.Évidemment, je les aime le plus aussi.Cependant…Vivre …Continuer la lecture →
We are all quite fixated on a purity of lolbins. Best if it is a hidden/undocumented/unexpected behavior of a native OS binary that can be abused for some nefarious purposes. I, obviously, love these the most, too. However… Living Off … Continue reading → |
Technical | ★★★ | |
 |
2023-06-09 15:42:46 | Trouver et exploiter les conducteurs de tueurs de processus avec LOL pour 3000 $ Finding and exploiting process killer drivers with LOL for 3000$ (lien direct) |
Cet article décrit un moyen rapide de trouver des conducteurs de tueurs de processus exploitables faciles.Il existe de nombreuses façons d'identifier et d'exploiter les conducteurs de tueurs de processus.Cet article n'est pas exhaustif et ne présente qu'une seule méthode (facile).
Dernièrement, l'utilisation de la technique BYOVD pour tuer les agents AV et EDR semble tendance.Le projet Blackout ZeromeMoryEx, l'outil Terminator vendu (pour 3000 $) de Spyboy en est quelques exemples récents.
L'utilisation de conducteurs vulnérables pour tuer AV et EDR n'est pas neuf, il a été utilisé par APTS, Red Teamers et Ransomware Gangs depuis un certain temps.
This article describes a quick way to find easy exploitable process killer drivers. There are many ways to identify and exploit process killer drivers. This article is not exhaustive and presents only one (easy) method. Lately, the use of the BYOVD technique to kill AV and EDR agents seems trending. The ZeroMemoryEx Blackout project, the Terminator tool sold (for 3000$) by spyboy are some recent examples. Using vulnerable drivers to kill AV and EDR is not brand new, it’s been used by APTs, Red Teamers, and ransomware gangs for quite some time. |
Ransomware Tool Technical | ★★★★ | |
 |
2023-05-10 22:00:00 | Clean Code est-il la solution de la qualité du code du cahier Jupyter? Is Clean Code the solution to Jupyter notebook code quality? (lien direct) |
Clean Code est-il la solution de la qualité du code du cahier Jupyter?
Is Clean Code the solution to Jupyter notebook code quality? |
Technical | ★★★ | |
|
2023-05-10 08:00:00 | ES2023 introduit de nouvelles méthodes de copie du tableau à JavaScript ES2023 introduces new array copying methods to JavaScript (lien direct) |
Il existe de nouvelles méthodes de tableau en JavaScript et ils sont là pour rendre nos programmes plus prévisibles et maintenables.
There are new array methods in JavaScript and they are here to make our programs more predictable and maintainable. |
Technical | ★★★ | |
|
2023-05-01 22:00:00 | Python bizarre: 5 comportements inattendus dans l'interpréteur Python Weird Python: 5 Unexpected Behaviors in the Python Interpreter (lien direct) |
Cinq façons dont l'interprète de Python se comporte de manière à ce que vous ne vous attendez pas.
Five ways in which Python\'s interpreter behaves in ways that you wouldn\'t expect. |
Technical | ★★★ | |
|
2023-04-25 22:00:00 | Entretien avec Sonar Python Developers Part 2 Interview with Sonar Python Developers Part 2 (lien direct) |
Derniers développements Python.Entretien avec des développeurs Python de Sonar.
Latest Python developments. Interview with Python developers from Sonar. |
Technical | ★★★ | |
|
2023-04-24 22:00:00 | Odoo: obtenez votre type de contenu, ou bien! Odoo: Get your Content Type right, or else! (lien direct) |
Pour quoi avons-nous besoin de types de contenu de toute façon?Laissez \\ examiner comment un type de contenu incorrect a conduit à une vulnérabilité du monde réel dans Odoo, CVE-2023-1434.
What do we need content types for anyway? Let\'s look into how an incorrect content type led to a real-world vulnerability in Odoo, CVE-2023-1434. |
Vulnerability Technical | ★★★ | |
|
2023-04-17 22:00:00 | Entretien avec les développeurs de sonar Python Partie 1 Interview with Sonar Python Developers Part 1 (lien direct) |
Pourquoi devrais-je apprendre la langue python?Quand dois-je utiliser Python?L'outillage autour du développement de Python est-il mature?
Why should I learn Python language? When should I use Python? Is tooling around Python development mature? |
Technical | ★★★ | |
|
2023-03-29 22:00:00 | Il est un piège (snmp): gagner l'exécution du code sur les libréns It\\'s a (SNMP) Trap: Gaining Code Execution on LibreNMS (lien direct) |
Nos chercheurs ont découvert une vulnérabilité dans les Librenms, qui pourraient être exploités par les attaquants pour gagner RCE en envoyant un seul piège SNMP.
Our researchers discovered a vulnerability in LibreNMS, which could be exploited by attackers to gain RCE by sending a single SNMP trap. |
Vulnerability Technical | ★★★ | |
|
2023-03-20 23:00:00 | Les 5 principaux problèmes de dactylographie trouvés par sonarlint The top 5 common TypeScript issues found by SonarLint (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Ceci est un résumé du top 5
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. This is a summary of the top 5 |
Technical | ★★★ | |
|
2023-03-08 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;1: affectations dans les sous-expressions Common TypeScript Issues Nº 1: assignments within sub-expressions (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-03-01 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;2: déclarations non vides Common TypeScript Issues Nº 2: non-empty statements (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-02-20 23:00:00 | (Déjà vu) Problèmes de dactylographie communs N & ORDM;3: Variables et fonctions locales inutilisées Common TypeScript Issues Nº 3: unused local variables and functions (lien direct) |
Nous avons critiqué les données de Sonarlint pour découvrir les 5 principaux problèmes de typeScript les plus courants.Dans cette série en 5 parties, nous décrivons chaque problème et comment l'éviter.
We crunched the data from SonarLint to discover the top 5 most common TypeScript issues. In this 5 part series, we outline each issue and how to avoid it. |
Technical | ★★★ | |
|
2023-01-25 23:00:00 | OpenEMR - Exécution du code distant dans votre système de santé OpenEMR - Remote Code Execution in your Healthcare System (lien direct) |
Nous avons récemment découvert trois vulnérabilités qui permettent l'exécution de code arbitraire sur OpenEMR.Laissez voir ce que nous pouvons apprendre d'eux et discuter de leurs correctifs!
We recently discovered three vulnerabilities that allow arbitrary code execution on OpenEMR. Let\'s see what we can learn from them and discuss their patches! |
Vulnerability Technical | ★★★ | |
|
2023-01-03 00:00:00 | CACTI: Exécution de code distant non authentifié Cacti: Unauthenticated Remote Code Execution (lien direct) |
Découvrez comment nous avons découvert une vulnérabilité critique dans les cactus à l'aide de SonarCloud.
Learn how we discovered a critical vulnerability in Cacti with the help of SonarCloud. |
Vulnerability Technical | ★★★★ | |
|
2022-11-15 00:00:00 | (Déjà vu) CheckMk: Exécution du code distant en chaînant plusieurs bogues (3/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (3/3) (lien direct) |
Ce dernier article de la série détermine comment un attaquant peut chaîner deux vulnérabilités supplémentaires pour reprendre pleinement un serveur CheckMK.
This last article of the series determines how an attacker can chain two further vulnerabilities to fully take over a Checkmk server. |
Vulnerability Technical | ★★★ | |
|
2022-11-08 00:00:00 | CheckMk: Exécution du code distant en chaînant plusieurs bogues (2/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (2/3) (lien direct) |
Le deuxième article de cette série décrit comment un attaquant peut tirer parti de la possibilité de forger des requêtes LQL arbitraires pour accéder au composant Nagvis.
The second article of this series outlines how an attacker can leverage the ability to forge arbitrary LQL queries to gain access to the NagVis component. |
Technical | ★★★ | |
|
2022-11-01 00:00:00 | CheckMk: Exécution du code distant en chaînant plusieurs bogues (1/3) Checkmk: Remote Code Execution by Chaining Multiple Bugs (1/3) (lien direct) |
Nous avons découvert plusieurs vulnérabilités dans CheckMK, qui peuvent être enchaînées par un attaquant distant non authentifié pour reprendre pleinement un serveur vulnérable.
We discovered multiple vulnerabilities in Checkmk, which can be chained together by an unauthenticated, remote attacker to fully take over a vulnerable server. |
Vulnerability Technical | ★★★ | |
|
2022-09-15 00:00:00 | Entretien avec un développeur de sonarsource Interview with a SonarSource Developer (lien direct) |
Curieux de la vie en tant que développeur de Sonarsource?Rejoignez-nous pendant que nous discutons des changements dans le monde de la programmation, de l'importance de la sécurité et de l'écriture de code avec le développeur backend Sonarcloud Claire Villard.
Curious about life as a Developer at SonarSource? Join us as we discuss changes in the world of programming, the importance of Security, and writing code with SonarCloud Backend Developer Claire Villard. |
Technical | ★★ | |
 |
2022-08-24 12:04:44 | FORCEDENTRY: Sandbox Escape (lien direct) | Posted by Ian Beer & Samuel Groß of Google Project Zero We want to thank Citizen Lab for sharing a sample of the FORCEDENTRY exploit with us, and Apple’s Security Engineering and Architecture (SEAR) group for collaborating with us on the technical analysis. Any editorial opinions reflected below are solely Project Zero’s and do not necessarily reflect those of the organizations we collaborated with during this research. Late last year we published a writeup of the initial remote code execution stage of FORCEDENTRY, the zero-click iMessage exploit attributed by Citizen Lab to NSO. By sending a .gif iMessage attachment (which was really a PDF) NSO were able to remotely trigger a heap buffer overflow in the ImageIO JBIG2 decoder. They used that vulnerability to bootstrap a powerful weird machine capable of loading the next stage in the infection process: the sandbox escape. In this post we'll take a look at that sandbox escape. It's notable for using only logic bugs. In fact it's unclear where the features that it uses end and the vulnerabilities which it abuses begin. Both current and upcoming state-of-the-art mitigations such as Pointer Authentication and Memory Tagging have no impact at all on this sandbox escape.An observation During our initial analysis of the .gif file Samuel noticed that rendering the image appeared to leak memory. Running the heap tool after releasing all the associated resources gave the following output: $ heap $pid ------------------------------------------------------------ All zones: 4631 nodes (826336 bytes) COUNT BYTES AVG CLASS_NAME TYPE BINARY ===== ===== === ========== ==== ====== 1969 469120 238.3 non-object 825 26400 32.0 JBIG2Bitmap C++ CoreGraphics | Vulnerability Technical | ★★★ | |
|
2022-08-23 12:22:51 | Windows Exploitation Tricks: Relaying DCOM Authentication (lien direct) | Posted by James Forshaw, Project Zero In my previous blog post I discussed the possibility of relaying Kerberos authentication from a DCOM connection. I was originally going to provide a more in-depth explanation of how that works, but as it's quite involved I thought it was worthy of its own blog post. This is primarily a technique to get relay authentication from another user on the same machine and forward that to a network service such as LDAP. You could use this to escalate privileges on a host using a technique similar to a blog post from Shenanigans Labs but removing the requirement for the WebDAV service. Let's get straight to it.Background The technique to locally relay authentication for DCOM was something I originally reported back in 2015 (issue 325). This issue was fixed as CVE-2015-2370, however the underlying authentication relay using DCOM remained. This was repurposed and expanded upon by various others for local and remote privilege escalation in the RottenPotato series of exploits, the latest in that line being RemotePotato which is currently unpatched as of October 2021. The key feature that the exploit abused is standard COM marshaling. Specifically when a COM object is marshaled so that it can be used by a different process or host, the COM runtime generates an OBJREF structure, most commonly the OBJREF_STANDARD form. This structure contains all the information necessary to establish a connection between a COM client and the original object in the COM server. Connecting to the original object from the OBJREF is a two part process:The client extracts the Object Exporter ID (OXID) from the structure and contacts the OXID resolver service specified by the RPC binding information in the OBJREF.The client uses the OXID resolver service to find the RPC binding information of the COM server which hosts the object and establishes a connection to the RPC endpoint to access the object's interfaces. Both of these steps require establishing an MSRPC connection to an endpoint. Commonly this is either locally over ALPC, or remotely via TCP. If a TCP connection is used then the client will also authenticate to the RPC server using NTLM or Kerberos based on the security bindings in the OBJREF. | Technical | ★★★ | |
|
2022-08-23 12:03:57 | A deep dive into an NSO zero-click iMessage exploit: Remote Code Execution (lien direct) | Posted by Ian Beer & Samuel Groß of Google Project Zero We want to thank Citizen Lab for sharing a sample of the FORCEDENTRY exploit with us, and Apple’s Security Engineering and Architecture (SEAR) group for collaborating with us on the technical analysis. The editorial opinions reflected below are solely Project Zero’s and do not necessarily reflect those of the organizations we collaborated with during this research. Earlier this year, Citizen Lab managed to capture an NSO iMessage-based zero-click exploit being used to target a Saudi activist. In this two-part blog post series we will describe for the first time how an in-the-wild zero-click iMessage exploit works. Based on our research and findings, we assess this to be one of the most technically sophisticated exploits we've ever seen, further demonstrating that the capabilities NSO provides rival those previously thought to be accessible to only a handful of nation states. The vulnerability discussed in this blog post was fixed on September 13, 2021 in iOS 14.8 as CVE-2021-30860. NSO NSO Group is one of the highest-profile providers of "access-as-a-service", selling packaged hacking solutions which enable nation state actors without a home-grown offensive cyber capability to "pay-to-play", vastly expanding the number of nations with such cyber capabilities. For years, groups like Citizen Lab and Amnesty International have been tracking the use of NSO's mobile spyware package "Pegasus". Despite NSO's claims that they "[evaluate] the potential for adverse human rights impacts arising from the misuse of NSO products" Pegasus has been linked to the hacking of the New York Times journalist Ben Hubbard by the Saudi regime, hacking of human rights defenders in Morocco and Bahrain, the targeting of Amnesty | Vulnerability Technical | ★★★ | |
 |
2022-07-14 13:41:53 | À l'intérieur des applications Windows malveillantes pour le déploiement de logiciels malveillants Inside Malicious Windows Apps for Malware Deployment (lien direct) |
Découvrez comment les acteurs de la menace manipulent Windows pour installer des applications malveillantes qui sont fiables par le système et comment se défendre contre eux.
Learn how threat actors manipulate Windows to install malicious apps that are trusted by the system, and how to defend against them. |
Malware Threat Technical | ★★★ | |
|
2022-05-27 11:33:26 | Bypass EDR: comment et pourquoi décrocher le tableau d'adresse d'importation EDR Bypass : How and Why to Unhook the Import Address Table (lien direct) |
Un jour, j'essayais de contourner un EDR et j'ai remarqué quelque chose d'intéressant.
L'EDR que j'essayais de contourner n'a pas accroché la DLL dans leur code avec des instructions JMP comme les autres EDR dans User-Land.
Dans ce cas, il accrochait directement le tableau d'adresse d'importation.Cette technique fait le déplacement habituel comme le mise en direct ou l'effacement de la DLL chargée avec une fraîchement chargée de disque inutile.
J'ai dû décrocher le tableau d'adresse d'importation de mon processus.
One day, I was trying to bypass an EDR and I noticed something interesting. The EDR I was trying to bypass wasn’t hooking the DLL in their code with jmp instruction like other EDRs in user-land. In this case, it was hooking directly the Import Address Table. This technique makes the usual move like live-patching, or erasing the loaded DLL with one freshly loaded from disk useless. I had to unhook the Import Address Table of my process. |
Technical | ★★★★ | |
|
2022-03-24 12:12:24 | Un voyage syscall dans le noyau Windows A Syscall Journey in the Windows Kernel (lien direct) |
L'analyse de ce post a été réalisée à partir d'un bits Windows 10 x64.Si vous essayez de comparer le contenu de cet article sur une version Windows inférieure, vous serez déçu car des modifications ont été apportées dans Windows 10.
Dans mon dernier article dédié aux différentes façons de récupérer l'ID Syscall, j'ai expliqué rapidement comment les systèmes directs ont été effectués en mode utilisateur et je suis resté vague sur la façon dont il a été traité en mode noyau.
The analysis on this post was made from a Windows 10 x64 bits. If you are trying to compare the content of this post on a lower Windows version you will be disappointed since changes were made in Windows 10. In my last post dedicated to the different ways to retrieve Syscall ID, I explained quickly how direct syscalls were performed in User Mode and remained vague about how it was processed in Kernel Mode. |
Technical | ★★★★ | |
|
2022-01-29 20:13:54 | EDR Bypass: Récupération de Syscall ID avec Hell \\'s Gate, Halo \\'s Gate, Freshycalls and Syswhispers2 EDR Bypass : Retrieving Syscall ID with Hell\\'s Gate, Halo\\'s Gate, FreshyCalls and Syswhispers2 (lien direct) |
Ce message n'est pas une présentation approfondie de la porte de l'enfer, de la porte Halo, Freshycalls2 ou Syswhispers23.
Vous pouvez trouver une explication détaillée sur ces techniques sur leur réapprovisionnement GitHub, divers articles et l'incroyable cours d'évasion Windows Sektor74.
Alors, quel est l'intérêt de cet article alors?Eh bien, je trouve les différentes techniques utilisées pour récupérer dynamiquement les identificateurs syscall très intéressants et je voulais présenter la différence entre eux.
SOOOO LET & RSquo; est-ce que nous?
This post is not an extensive presentation of Hell’s Gate1, Halo’s Gate, FreshyCalls2 or Syswhispers23. You can find detailed explaination on these techniques on their Github repo, various articles and the amazing Sektor7 Windows Evasion Course4. So whats the point of this article then ? Well, I find the various techniques used to dynamically retrieve syscall identifiers very interesting and I wanted to present the difference between them. Soooo let’s begin shall we ? |
Technical | ★★★ | |
|
2021-12-05 19:50:59 | Jouer avec Named Pipe et NotPetya Playing With Named Pipe and NotPetya (lien direct) |
Il y a longtemps, dans une galaxie très loin, je m'amusais en inversant Notpetya.
Les fichiers ont été abandonnés par NotPetya pendant l'analyse dynamique, j'ai identifié certains fichiers abandonnés sur le disque par l'échantillon.
Les fichiers sont tombés sur le disque
Un fichier exécuté utilisant un tuyau nommé l'un d'eux a attiré mon attention: il est exécuté par l'échantillon avec un argument de tuyau nommé.
Un binaire exécuté avec un argument de pipe nommé
A long time ago, in a galaxy far far away, I was having fun reversing NotPetya. Files dropped by NotPetya During the dynamical analysis, I identified some files dropped on the disk by the sample. Files dropped in the disk An executed file using named pipe One of them caught my eye: it is executed by the sample with a named pipe argument. A binary executed with named pipe argument |
Technical | NotPetya | ★★★★ |
 |
2021-07-19 13:00:00 | capa 2.0: mieux, plus fort, plus rapide capa 2.0: Better, Stronger, Faster (lien direct) |
Nous sommes ravis d'annoncer la version 2.0 de notre outil open source appelé CAPA.CAPA identifie automatiquement les capacités des programmes à l'aide d'un ensemble de règles extensible.L'outil prend en charge à la fois le triage de logiciels malveillants et l'ingénierie inverse de plongée profonde.Si vous avez déjà entendu parler de capa ou si vous avez besoin d'un rafraîchissement, consultez notre First BlogPost .Vous pouvez télécharger des binaires autonomes CAPA 2.0 à partir de la Page de publication et de vérifier le code source sur github .
CAPA 2.0 permet à quiconque de contribuer des règles plus facilement, ce qui rend l'écosystème existant encore plus dynamique.Ce billet de blog détaille le major suivant
We are excited to announce version 2.0 of our open-source tool called capa. capa automatically identifies capabilities in programs using an extensible rule set. The tool supports both malware triage and deep dive reverse engineering. If you haven\'t heard of capa before, or need a refresher, check out our first blog post. You can download capa 2.0 standalone binaries from the project\'s release page and checkout the source code on GitHub. capa 2.0 enables anyone to contribute rules more easily, which makes the existing ecosystem even more vibrant. This blog post details the following major |
Malware Tool Technical | ★★★★ | |
|
2020-11-19 19:00:00 | VBA purgalicious: obscurcissement macro avec purge de VBA Purgalicious VBA: Macro Obfuscation With VBA Purging (lien direct) |
Les documents de bureau malveillants restent une technique préférée pour chaque type d'acteur de menace, des Teamers Red aux groupes FIN en passant par APTS.Dans cet article de blog, nous discuterons de "Purging VBA", une technique que nous avons de plus en plus observée dans la nature et c'était d'abord Documé publiquement par Didier Stevens en février 2020 .Nous expliquerons comment VBA Purging fonctionne avec les documents Microsoft Office au format binaire de fichiers composés (CFBF), partagez certaines opportunités de détection et de chasse et introduire un nouvel outil créé par l'équipe rouge de Mandiant \\: officepurge .
Format de fichier MS-OVBA
Avant de plonger dans la purge VBA, c'est
Malicious Office documents remain a favorite technique for every type of threat actor, from red teamers to FIN groups to APTs. In this blog post, we will discuss "VBA Purging", a technique we have increasingly observed in the wild and that was first publicly documented by Didier Stevens in February 2020. We will explain how VBA purging works with Microsoft Office documents in Compound File Binary Format (CFBF), share some detection and hunting opportunities, and introduce a new tool created by Mandiant\'s Red Team: OfficePurge. MS-OVBA File Format Before diving into VBA Purging, it is |
Tool Threat Technical | ★★★★ | |
|
2019-01-08 16:00:00 | Cireging the Past: Windows Registry Forensics Revisited Digging Up the Past: Windows Registry Forensics Revisited (lien direct) |
Introduction
Les consultants FireEye utilisent fréquemment les données du registre Windows lors de l'exécution de l'analyse médico-légale des réseaux informatiques dans le cadre des missions d'évaluation des incidents et de compromis.Cela peut être utile pour découvrir une activité malveillante et déterminer quelles données peuvent avoir été volées à un réseau.De nombreux types de données différents sont présents dans le registre qui peuvent fournir des preuves de l'exécution du programme, des paramètres d'application, de la persistance des logiciels malveillants et d'autres artefacts précieux.
L'analyse médico-légale des attaques passées peut être particulièrement difficile.Menace persistante avancée
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts. Performing forensic analysis of past attacks can be particularly challenging. Advanced persistent threat |
Malware Technical | ★★★★ | |
|
2018-09-13 11:00:00 | APT10 ciblant les sociétés japonaises à l'aide de TTPS mis à jour APT10 Targeting Japanese Corporations Using Updated TTPs (lien direct) |
Introduction
En juillet 2018, les appareils FireEye ont détecté et bloqué ce qui semble être une activité APT10 (Menupass) ciblant le secteur des médias japonais.APT10 est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009, et ils ont une histoire de ciblant les entités japonaises .
Dans cette campagne, le groupe a envoyé des e-mails de phishing de lance contenant des documents malveillants qui ont conduit à l'installation de la porte dérobée Uppercut.Cette porte dérobée est bien connue dans la communauté de la sécurité comme Anel , et il venait en bêta ou en RC (candidat à la libération) jusqu'à récemment.Une partie de cet article de blog discutera du
Introduction In July 2018, FireEye devices detected and blocked what appears to be APT10 (Menupass) activity targeting the Japanese media sector. APT10 is a Chinese cyber espionage group that FireEye has tracked since 2009, and they have a history of targeting Japanese entities. In this campaign, the group sent spear phishing emails containing malicious documents that led to the installation of the UPPERCUT backdoor. This backdoor is well-known in the security community as ANEL, and it used to come in beta or RC (release candidate) until recently. Part of this blog post will discuss the |
Technical | APT 10 APT 10 | ★★★★ |
|
2018-07-10 11:00:00 | Détection de PowerShell malveillant via l'apprentissage automatique Malicious PowerShell Detection via Machine Learning (lien direct) |
Introduction
Les vendeurs et chercheurs de la cybersécurité ont rapporté depuis des années comment PowerShell est utilisé par les acteurs de cyber-menaces pour installer des déambulations, Exécuter du code malveillant , et atteignent autrement leurs objectifs au sein des entreprises.La sécurité est un jeu de chat et de souris entre les adversaires, les chercheurs et les équipes bleues.La flexibilité et la capacité de PowerShell ont rendu la détection conventionnelle à la fois difficile et critique.Ce billet de blog illustrera comment FireEye tire parti de l'intelligence artificielle et de l'apprentissage automatique pour augmenter la barre des adversaires qui utilisent PowerShell.
dans ce post
Introduction Cyber security vendors and researchers have reported for years how PowerShell is being used by cyber threat actors to install backdoors, execute malicious code, and otherwise achieve their objectives within enterprises. Security is a cat-and-mouse game between adversaries, researchers, and blue teams. The flexibility and capability of PowerShell has made conventional detection both challenging and critical. This blog post will illustrate how FireEye is leveraging artificial intelligence and machine learning to raise the bar for adversaries that use PowerShell. In this post |
Threat Technical | ★★★★ | |
|
2018-06-18 10:45:00 | Apportez votre propre terre (BYOL) & # 8211;Une nouvelle technique d'équipe rouge Bring Your Own Land (BYOL) – A Novel Red Teaming Technique (lien direct) |
Introduction
L'un des développements récents les plus importants dans les opérations offensives sophistiquées est l'utilisation des techniques de «vivre hors terre» (LOTL) par les attaquants.Ces techniques exploitent des outils légitimes présents sur le système, tels que le langage de script PowerShell, afin d'exécuter des attaques.La popularité de PowerShell en tant qu'outil offensif a abouti au développement de cadres d'équipe rouge entiers basés autour de lui, tels que Empire et Powerspoit .De plus, l'exécution de PowerShell peut être obscurcie grâce à l'utilisation d'outils tels que « invoke-obfuscation ».En réponse, les défenseurs
Introduction One of most significant recent developments in sophisticated offensive operations is the use of “Living off the Land” (LotL) techniques by attackers. These techniques leverage legitimate tools present on the system, such as the PowerShell scripting language, in order to execute attacks. The popularity of PowerShell as an offensive tool culminated in the development of entire Red Team frameworks based around it, such as Empire and PowerSploit. In addition, the execution of PowerShell can be obfuscated through the use of tools such as “Invoke-Obfuscation”. In response, defenders |
Tool Technical | ★★★★ | |
|
2018-05-21 10:15:00 | Éclairer une lumière sur les abus d'oauth avec pwnauth Shining a Light on OAuth Abuse with PwnAuth (lien direct) |
Introduction
Les attaques de phishing de lance sont considérées comme l'une des plus grandes cyber-menaces d'une organisation.Il ne faut qu'un seul employé pour saisir ses informations d'identification ou exécuter des logiciels malveillants pour qu'une organisation entière soit compromise.En tant que telles, les entreprises consacrent des ressources importantes à la prévention de la récolte des diplômes et des attaques d'ingénierie sociale axées sur la charge utile.Moins d'attention, cependant, a été accordée à une méthode non traditionnelle, mais tout aussi dangereuse d'ingénierie sociale: l'abus d'Oauth.Dans une attaque Aauths Abuse, une victime autorise une demande de tiers pour accéder à leur compte.Une fois autorisé
Introduction Spear phishing attacks are seen as one of the biggest cyber threats to an organization. It only takes one employee to enter their credentials or run some malware for an entire organization to become compromised. As such, companies devote significant resources to preventing credential harvesting and payload-driven social engineering attacks. Less attention, however, has been paid to a non-traditional, but just as dangerous, method of social engineering: OAuth abuse. In an OAuth abuse attack, a victim authorizes a third-party application to access their account. Once authorized |
Malware Technical | ★★★★ | |
|
2018-04-23 10:00:00 | Chargement de code de coquille du noyau Loading Kernel Shellcode (lien direct) |
Dans le sillage des récents décharges d'outils de piratage, l'équipe Flare a vu un pic dans des échantillons de logiciels malveillants détonant le shellcode du noyau.Bien que la plupart des échantillons puissent être analysés statiquement, l'équipe Flare débogue parfois ces échantillons pour confirmer des fonctionnalités spécifiques.Le débogage peut être un moyen efficace de contourner l'emballage ou l'obscurcissement et d'identifier rapidement les structures, les routines système et les processus auxquels un échantillon de shellcode de noyau accéde.
Ce message commence une série centrée sur l'analyse des logiciels du noyau et présente un outil qui utilise un pilote de noyau Windows personnalisé pour charger et exécuter le noyau Windows
In the wake of recent hacking tool dumps, the FLARE team saw a spike in malware samples detonating kernel shellcode. Although most samples can be analyzed statically, the FLARE team sometimes debugs these samples to confirm specific functionality. Debugging can be an efficient way to get around packing or obfuscation and quickly identify the structures, system routines, and processes that a kernel shellcode sample is accessing. This post begins a series centered on kernel software analysis, and introduces a tool that uses a custom Windows kernel driver to load and execute Windows kernel |
Malware Tool Technical | ★★★★ | |
|
2018-04-05 10:00:00 | Fake Software Update Abuses NetSupport Tool à distance Fake Software Update Abuses NetSupport Remote Access Tool (lien direct) |
Au cours des derniers mois, FireEye a suivi une campagne dans la fenêtre qui exploite des sites compromis pour répartir les fausses mises à jour.Dans certains cas, la charge utile était l'outil d'accès à distance (RAT) du gestionnaire Netsupport.Netsupport Manager est un rat disponible dans le commerce qui peut être utilisé légitimement par les administrateurs système pour accéder à distance aux ordinateurs clients.Cependant, les acteurs malveillants abusent de cette application en l'installant aux systèmes des victimes à leur insu pour obtenir un accès non autorisé à leurs machines.Ce blog détaille notre analyse du javascript et des composants utilisés dans
Over the last few months, FireEye has tracked an in-the-wild campaign that leverages compromised sites to spread fake updates. In some cases, the payload was the NetSupport Manager remote access tool (RAT). NetSupport Manager is a commercially available RAT that can be used legitimately by system administrators for remotely accessing client computers. However, malicious actors are abusing this application by installing it to the victims\' systems without their knowledge to gain unauthorized access to their machines. This blog details our analysis of the JavaScript and components used in |
Tool Technical | ★★★★ | |
|
2018-03-22 10:45:00 | Dosfuscation: Exploration des profondeurs des techniques d'obscuscations et de détection CMD.exe DOSfuscation: Exploring the Depths of Cmd.exe Obfuscation and Detection Techniques (lien direct) |
Les attaquants qualifiés recherchent continuellement de nouveaux vecteurs d'attaque, tout en utilisant des techniques d'évasion pour maintenir l'efficacité des anciens vecteurs, dans un paysage défensif en constante évolution.Beaucoup de ces acteurs de menace utilisent des cadres d'obscurcissement pour les langages de script communs tels que JavaScript et PowerShell pour contrecarrer les détections de commerce offensive communes écrites dans ces langues.
Cependant, à mesure que les défenseurs de la visibilité dans ces langages de script populaires augmentent grâce à une meilleure journalisation et à des outils défensifs, certains attaquants furtifs ont déplacé leur métier vers les langues
Skilled attackers continually seek out new attack vectors, while employing evasion techniques to maintain the effectiveness of old vectors, in an ever-changing defensive landscape. Many of these threat actors employ obfuscation frameworks for common scripting languages such as JavaScript and PowerShell to thwart signature-based detections of common offensive tradecraft written in these languages. However, as defenders\' visibility into these popular scripting languages increases through better logging and defensive tooling, some stealthy attackers have shifted their tradecraft to languages |
Threat Technical | ★★★★ | |
|
2018-02-07 16:45:00 | Reelphish: un outil de phishing à deux facteurs en temps réel ReelPhish: A Real-Time Two-Factor Phishing Tool (lien direct) |
Ingénierie sociale et authentification à deux facteurs
Les campagnes d'ingénierie sociale sont une menace constante pour les entreprises car elles ciblent la chaîne la plus faible de la sécurité: les gens.Une attaque typique capturerait le nom d'utilisateur et le mot de passe d'une victime et le stockerait pour qu'un attaquant puisse réutiliser plus tard.L'authentification à deux facteurs (2FA) ou l'authentification multi-facteurs (MFA) est couramment considérée comme une solution à ces menaces.
2FA ajoute une couche supplémentaire d'authentification en plus du nom d'utilisateur et du mot de passe typiques.Deux implémentations 2FA courantes sont des mots de passe unique et des notifications push.Les mots de passe uniques sont
Social Engineering and Two-Factor Authentication Social engineering campaigns are a constant threat to businesses because they target the weakest chain in security: people. A typical attack would capture a victim\'s username and password and store it for an attacker to reuse later. Two-Factor Authentication (2FA) or Multi-Factor Authentication (MFA) is commonly seen as a solution to these threats. 2FA adds an extra layer of authentication on top of the typical username and password. Two common 2FA implementations are one-time passwords and push notifications. One-time passwords are |
Tool Threat Technical | ★★★★ | |
|
2018-01-04 16:30:00 | Débogage de logiciels malveillants complexes qui exécutent du code sur le tas Debugging Complex Malware that Executes Code on the Heap (lien direct) |
Introduction
Dans ce blog, je partagerai une simple tactique de débogage pour créer des «points de sauvegarde» lors du débogage à distance itératif d'échantillons à plusieurs étages complexes qui exécutent du code dans la mémoire du tas à des adresses non déterministes.Je partagerai deux exemples: l'un artificiel, et l'autre un échantillon de logiciel malveillant modulaire complexe (MD5 Hash: 830A09FF05EAC9A5F42897BA5176A36A) d'une famille que nous appelons PoisonPlug.Je me concentrerai sur IDA Pro et Windbg, mais j'expliquerai comment réaliser le même effet avec d'autres outils.Avec cette tactique, vous pouvez également remettre l'exécution du programme entre plusieurs débuggeurs en utilisant
Introduction In this blog, I will share a simple debugging tactic for creating “save points” during iterative remote debugging of complex multi-stage samples that execute code in heap memory at non-deterministic addresses. I\'ll share two examples: one contrived, and the other a complex, modular malware sample (MD5 hash: 830a09ff05eac9a5f42897ba5176a36a) from a family that we call POISONPLUG. I will focus on IDA Pro and WinDbg, but I\'ll explain how to achieve the same effect with other tools as well. With this tactic, you can also hand off program execution between multiple debuggers using |
Malware Tool Technical | ★★★★ | |
|
2017-12-14 15:00:00 | Les attaquants déploient un nouveau cadre d'attaque ICS «Triton» et provoquent une perturbation opérationnelle des infrastructures critiques Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure (lien direct) |
Introduction
mandiant a récemment répondu à un incident dans une organisation d'infrastructure critique où un attaquant a déployé des logiciels malveillants conçus pour manipuler les systèmes de sécurité industrielle.Les systèmes ciblés ont fourni une capacité d'arrêt d'urgence pour les processus industriels.Nous évaluons avec une confiance modérée que l'attaquant développait la capacité de causer des dommages physiques et des opérations d'arrêt par inadvertance.Ce logiciel malveillant, que nous appelons Triton, est un cadre d'attaque conçu pour interagir avec les contrôleurs de système instrumentés de sécurité Triconex (SIS).Nous n'avons pas attribué l'incident à un
Introduction Mandiant recently responded to an incident at a critical infrastructure organization where an attacker deployed malware designed to manipulate industrial safety systems. The targeted systems provided emergency shutdown capability for industrial processes. We assess with moderate confidence that the attacker was developing the capability to cause physical damage and inadvertently shutdown operations. This malware, which we call TRITON, is an attack framework built to interact with Triconex Safety Instrumented System (SIS) controllers. We have not attributed the incident to a |
Malware Industrial Technical | ★★★★ | |
|
2017-07-05 10:00:00 | Présentation de la prise en charge de Linux pour Fakennet-NG: outil d'analyse de réseau dynamique de Next Generation de Flare \\ Introducing Linux Support for FakeNet-NG: FLARE\\'s Next Generation Dynamic Network Analysis Tool (lien direct) |
Introduction
En 2016, Flare a présenté FAKENET-NG , un ouvert-Source Outil d'analyse de réseau écrite en python.Fakennet-NG permet aux analystes de sécurité d'observer et d'interagir avec les applications réseau à l'aide de protocoles standard ou personnalisés sur un seul hôte Windows, ce qui est particulièrement utile pour l'analyse des logiciels malveillants et l'ingénierie inverse.Depuis la version de Fakennet-NG \\, Flare a ajouté le support pour des protocoles supplémentaires.Fakennet-ng a maintenant une prise en charge prête à l'emploi pour DNS, HTTP (y compris les bits), FTP, TFTP, IRC, SMTP, POP, TCP et UDP ainsi que SSL.
En s'appuyant sur ce travail, Flare a maintenant amené Fakennet-NG à
Introduction In 2016, FLARE introduced FakeNet-NG, an open-source network analysis tool written in Python. FakeNet-NG allows security analysts to observe and interact with network applications using standard or custom protocols on a single Windows host, which is especially useful for malware analysis and reverse engineering. Since FakeNet-NG\'s release, FLARE has added support for additional protocols. FakeNet-NG now has out-of-the-box support for DNS, HTTP (including BITS), FTP, TFTP, IRC, SMTP, POP, TCP, and UDP as well as SSL. Building on this work, FLARE has now brought FakeNet-NG to |
Malware Tool Technical | ★★★★ | |
|
2017-06-30 18:00:00 | L'obscurcissement dans la nature: les attaquants ciblés ouvrent la voie dans les techniques d'évasion Obfuscation in the Wild: Targeted Attackers Lead the Way in Evasion Techniques (lien direct) |
Tout au long de 2017, nous avons observé une augmentation marquée de l'utilisation de l'évasion de la ligne de commande et de l'obscurcissement par une gamme d'attaquants ciblés.Les groupes de cyber-espionnage et les acteurs de la menace financière continuent d'adopter les dernières techniques de contournement de la liste blanche de l'application de pointe et d'introduire une obscurcissement innovant dans leurs leurres de phishing.Ces techniques contournent souvent les méthodes d'analyse statique et dynamique et mettent en évidence pourquoi la détection basée sur la signature sera toujours au moins un pas en retard des attaquants créatifs.
Début 2017, Fin8 a commencé à utiliser des variables d'environnement associées à la capacité de PowerShell \\
Throughout 2017 we have observed a marked increase in the use of command line evasion and obfuscation by a range of targeted attackers. Cyber espionage groups and financial threat actors continue to adopt the latest cutting-edge application whitelisting bypass techniques and introduce innovative obfuscation into their phishing lures. These techniques often bypass static and dynamic analysis methods and highlight why signature-based detection alone will always be at least one step behind creative attackers. In early 2017, FIN8 began using environment variables paired with PowerShell\'s ability |
Threat Technical | ★★★★ | |
|
2017-06-12 10:00:00 | Derrière la porte dérobée de Carbanak Behind the CARBANAK Backdoor (lien direct) |
Dans ce blog, nous examinerons de plus près la porte dérobée puissante et polyvalente connue sous le nom de Carbanak (alias anunak ).Plus précisément, nous nous concentrerons sur les détails opérationnels de son utilisation au cours des dernières années, y compris sa configuration, les variations mineures observées d'un échantillon à l'autre et de son évolution.Avec ces détails, nous tirerons ensuite des conclusions sur les opérateurs de Carbanak.Pour quelques antécédents supplémentaires sur la porte dérobée de Carbanak, consultez les papiers de Kaspersky et Group-Ib et Fox-it.
Analyse technique
Avant de plonger dans la viande de ce blog, une brève analyse technique du
In this blog, we will take a closer look at the powerful, versatile backdoor known as CARBANAK (aka Anunak). Specifically, we will focus on the operational details of its use over the past few years, including its configuration, the minor variations observed from sample to sample, and its evolution. With these details, we will then draw some conclusions about the operators of CARBANAK. For some additional background on the CARBANAK backdoor, see the papers by Kaspersky and Group-IB and Fox-It. Technical Analysis Before we dive into the meat of this blog, a brief technical analysis of the |
Technical | ★★★★ | |
|
2017-05-26 10:00:00 | SMB exploité: utilisation de Wannacry de "Eternalblue" SMB Exploited: WannaCry Use of "EternalBlue" (lien direct) |
Server Message Block (SMB) est le protocole de transport utilisé par les machines Windows à une grande variété de fins telles que le partage de fichiers, le partage d'imprimantes et l'accès aux services Windows distants.SMB fonctionne sur les ports TCP 139 et 445. En avril 2017, Shadow Brokers a publié une vulnérabilité SMB nommée "EternalBlue", qui faisait partie du Microsoft Security Bulletin MS17-010 .
le récent wannacry ransomware profite de cette vulnérabilité pour compromettre les machines Windows, charger les logiciels malveillants et propageraux autres machines d'un réseau.L'attaque utilise les version 1 SMB et le port TCP 445 pour se propager.
con
Server Message Block (SMB) is the transport protocol used by Windows machines for a wide variety of purposes such as file sharing, printer sharing, and access to remote Windows services. SMB operates over TCP ports 139 and 445. In April 2017, Shadow Brokers released an SMB vulnerability named “EternalBlue,” which was part of the Microsoft security bulletin MS17-010. The recent WannaCry ransomware takes advantage of this vulnerability to compromise Windows machines, load malware, and propagate to other machines in a network. The attack uses SMB version 1 and TCP port 445 to propagate. Con |
Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-23 12:30:00 | Profil de logiciel malveillant Wannacry WannaCry Malware Profile (lien direct) |
MALWARE WANNACRY (également connu sous le nom de WCRY ou WANACRYPTOR) est un ransomware d'auto-propagation (semblable à des vers) qui se propage dans les réseaux internes et sur Internet public en exploitant une vulnérabilité dans le bloc de messages du serveur de Microsoft \\ (SMB)Protocole, MS17-010.Le wannacry se compose de deux composants distincts, unqui fournit des fonctionnalités de ransomware et un composant utilisé pour la propagation, qui contient des fonctionnalités pour permettre les capacités d'exploitation des SMB.
Le malware exploite un exploit, nommé «EternalBlue», publié par les Shadow Brokers le 14 avril 2017.
le
WannaCry (also known as WCry or WanaCryptor) malware is a self-propagating (worm-like) ransomware that spreads through internal networks and over the public internet by exploiting a vulnerability in Microsoft\'s Server Message Block (SMB) protocol, MS17-010. The WannaCry malware consists of two distinct components, one that provides ransomware functionality and a component used for propagation, which contains functionality to enable SMB exploitation capabilities. The malware leverages an exploit, codenamed “EternalBlue”, that was released by the Shadow Brokers on April 14, 2017. The |
Ransomware Malware Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-09 12:00:00 | EPS Traitement des jours zéro exploités par plusieurs acteurs de menace EPS Processing Zero-Days Exploited by Multiple Threat Actors (lien direct) |
En 2015, FireEye a publié des détails sur deux attaques exploitant les vulnérabilités dans PostScript encapsulé (EPS) de Microsoft Office.L'un était un zéro-day Et l'un était Patched des semaines avant le lancement de l'attaque.
Récemment, Fireeye a identifié trois nouvelles vulnérabilités de zéro-jours dans les produits Microsoft Office qui sont exploités dans la nature.
Fin mars 2017, nous avons détecté un autre document malveillant tirant parti d'une vulnérabilité inconnue dans l'EPS et un récemment Potted Vulnérabilité dans Windows Graphics Device Interface (GDI) pour supprimer les logiciels malveillants.Après le patch d'avril 2017 mardi, dans lequel
In 2015, FireEye published details about two attacks exploiting vulnerabilities in Encapsulated PostScript (EPS) of Microsoft Office. One was a zero-day and one was patched weeks before the attack launched. Recently, FireEye identified three new zero-day vulnerabilities in Microsoft Office products that are being exploited in the wild. At the end of March 2017, we detected another malicious document leveraging an unknown vulnerability in EPS and a recently patched vulnerability in Windows Graphics Device Interface (GDI) to drop malware. Following the April 2017 Patch Tuesday, in which |
Vulnerability Threat Technical | ★★★★ | |
|
2017-05-03 15:30:00 | À SDB, ou à ne pas SDB: FIN7 tirant parti des bases de données de cale pour la persistance To SDB, Or Not To SDB: FIN7 Leveraging Shim Databases for Persistence (lien direct) |
En 2017, Mandiant a répondu à plusieurs incidents que nous attribuons à FIN7, un groupe de menaces à motivation financière associé à des opérations malveillantes remontant à 2015. Dans les différents environnements, FIN7 a tiré parti de la porte arrière de Carbanak, que ce groupe a utilisé dans les opérations précédentes.
Un aspect unique des incidents était de savoir comment le groupe a installé la porte dérobée de Carbanak pour un accès persistant.Mandiant a identifié que le groupe a exploité une base de données de cale d'application pour atteindre la persistance sur les systèmes dans plusieurs environnements.Le cale a injecté un patch en mémoire malveillant dans les services
In 2017, Mandiant responded to multiple incidents we attribute to FIN7, a financially motivated threat group associated with malicious operations dating back to 2015. Throughout the various environments, FIN7 leveraged the CARBANAK backdoor, which this group has used in previous operations. A unique aspect of the incidents was how the group installed the CARBANAK backdoor for persistent access. Mandiant identified that the group leveraged an application shim database to achieve persistence on systems in multiple environments. The shim injected a malicious in-memory patch into the Services |
Threat Technical | ★★★★ | |
|
2017-04-24 09:30:00 | FIN7 Evolution et le phishing LNK FIN7 Evolution and the Phishing LNK (lien direct) |
FIN7 est un groupe de menaces motivé financièrement qui a été associé à des opérations malveillantes datant de fin 2015. FIN7 est appelée de nombreux vendeurs de «groupe Carbanak», bien que nous n'asquivons pas toute utilisation de la porte dérobée de Carbanak à FIN7.Fireeye a récemment observé un Campagne de phishing de lance FIN7 Ciblage du personnel impliqué dans les dossiers de Securities and Exchange Commission (SEC) des États-Unis dans diverses organisations.
Dans une campagne nouvellement identifiée, FIN7 a modifié leurs techniques de phishing pour mettre en œuvre des mécanismes d'infection et de persistance uniques.Fin7 s'est éloigné de l'armement
FIN7 is a financially-motivated threat group that has been associated with malicious operations dating back to late 2015. FIN7 is referred to by many vendors as “Carbanak Group”, although we do not equate all usage of the CARBANAK backdoor with FIN7. FireEye recently observed a FIN7 spear phishing campaign targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. In a newly-identified campaign, FIN7 modified their phishing techniques to implement unique infection and persistence mechanisms. FIN7 has moved away from weaponized |
Threat Technical | ★★★★ | |
|
2017-04-11 12:30:00 | CVE-2017-0199: Dans les attaques sauvages, tirant parti du gestionnaire HTA CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler (lien direct) |
Fireeye a récemment détecté des documents malveillants Microsoft Office RTF qui tirent parti de CVE-2017-0199, une vulnérabilité auparavant non divulguée.Cette vulnérabilité permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document contenant un exploit intégré.FireEye a observé des documents de bureau exploitant le CVE-2017-0199 qui téléchargent et exécutent des charges utiles de logiciels malveillants de différentes familles de logiciels malveillants bien connus.
Fireeye a partagé les détails de la vulnérabilité avec Microsoft et a coordonné la divulgation publique chronométrée avec la version
FireEye recently detected malicious Microsoft Office RTF documents that leverage CVE-2017-0199, a previously undisclosed vulnerability. This vulnerability allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a document containing an embedded exploit. FireEye has observed Office documents exploiting CVE-2017-0199 that download and execute malware payloads from different well-known malware families. FireEye shared the details of the vulnerability with Microsoft and has been coordinating public disclosure timed with the release |
Malware Vulnerability Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
