What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2014-11-21 19:36:00 | Opération Double Tap Operation Double Tap (lien direct) |
apt3 (également connu sous le nom d'UPS), les acteurs responsables de Operation Clandestine Fox a tranquillement continué à envoyer des vagues de messages de spearphish au cours des derniersmois.Cet acteur a lancé sa dernière campagne le 19 novembre 2014 ciblant plusieurs organisations.L'attaquant a exploité plusieurs exploits, ciblant les deux CVE-2014-6332 et CVE-2014-4113 .Le CVE-2014-6332 a été divulgué publiquement le 2014-2011-11 et est une vulnérabilité d'exécution de code à distance de tableau d'automatisation Windows Ole.CVE-2014-4113 est une vulnérabilité d'escalade privilégiée qui était divulgué publiquement le 2014-10-14 .
l'utilisation de cve
APT3 (also known as UPS), the actors responsible for Operation Clandestine Fox has quietly continued to send waves of spearphishing messages over the past few months. This actor initiated their most recent campaign on November 19, 2014 targeting multiple organizations. The attacker leveraged multiple exploits, targeting both CVE-2014-6332 and CVE-2014-4113. CVE-2014-6332 was disclosed publicly on 2014-11-11 and is a Windows OLE Automation Array Remote Code Execution vulnerability. CVE-2014-4113 is a privilege escalation vulnerability that was disclosed publicly on 2014-10-14. The use of CVE |
Vulnerability Technical | APT 3 APT 3 | ★★★★ |
|
2014-09-03 18:00:29 | Le groupe APT préféré de Darwin \\ Darwin\\'s Favorite APT Group (lien direct) |
Introduction
Les attaquants appelés APT12 (également connu sous le nom d'Ixeshe, Dyncalc et DNSCALC) ont récemment lancé une nouvelle campagne ciblant les organisations au Japon et à Taïwan.L'APT12 serait un groupe de cyber-espionnage qui aurait des liens avec l'armée de libération du peuple chinois.Les objectifs d'APT12 \\ sont conformes aux objectifs de la République de Chine (PRC) de la République de Chine (PRC).Les intrusions et les campagnes menées par ce groupe sont en ligne avec les objectifs de la RPC et l'intérêt personnel à Taïwan.De plus, les nouvelles campagnes que nous avons révélées mettent davantage met en évidence la corrélation entre les groupes APT qui cessent et réoulèvent
Introduction The attackers referred to as APT12 (also known as IXESHE, DynCalc, and DNSCALC) recently started a new campaign targeting organizations in Japan and Taiwan. APT12 is believed to be a cyber espionage group thought to have links to the Chinese People\'s Liberation Army. APT12\'s targets are consistent with larger People\'s Republic of China (PRC) goals. Intrusions and campaigns conducted by this group are in-line with PRC goals and self-interest in Taiwan. Additionally, the new campaigns we uncovered further highlight the correlation between APT groups ceasing and retooling |
Technical | APT 12 | ★★★★ |
|
2014-04-03 09:48:00 | DLL à chargement latéral: un autre point mort pour antivirus DLL Side-Loading: Another Blind-Spot for Anti-Virus (lien direct) |
Le mois dernier, j'ai présenté une conférence à la conférence RSA USA sur un vecteur de menace de plus en plus populaire appelé «Dynamic-Link Library-Wadinging» (DLL Side-Wading).Comme pour de nombreuses vulnérabilités, cet exploit existe depuis assez longtemps et est le résultat de Microsoft qui cherche à faciliter les mises à jour binaires pour les développeurs Windows via la fonction d'assemblage Windows côte à côte (WINSXS).
Maintenant, cependant, les développeurs avancés de menace persistante (APT) utilisent la méthode inoffensive de chargement latéral DLL pour faufiler les scanners antivirus (AV) de malware (AV) alors que les fichiers infectés fonctionnent en mémoire.Ce faisant, le
Last month, I presented a talk at the RSA USA Conference on an increasingly popular threat vector called “Dynamic-Link Library Side-Loading” (DLL Side-Loading). As with many vulnerabilities, this exploit has existed for a rather long time and is the result of Microsoft looking to make binary updates easier for Windows developers through the Windows side-by-side (WinSxS) assembly feature. Now, though, advanced persistent threat (APT) developers are using the innocuous DLL Side-Loading method to sneak malware past anti-virus (AV) scanners as the infected files run in-memory. In doing-so, the |
Malware Threat Conference Technical | ★★★★ | |
|
2014-01-23 15:00:00 | Suivi des logiciels malveillants avec un hachage d'importation Tracking Malware with Import Hashing (lien direct) |
Le suivi des groupes de menaces au fil du temps est un outil important pour aider les défenseurs à rechercher le mal sur les réseaux et à mener une réponse efficace aux incidents.Savoir comment certains groupes opèrent en fait une enquête efficace et aide à identifier facilement l'activité des acteurs de la menace.
Chez Mandiant, nous utilisons plusieurs méthodes pour aider à identifier et corréler l'activité du groupe de menaces.Un élément critique de notre travail consiste à suivre divers éléments opérationnels tels que l'infrastructure d'attaquant et les adresses e-mail.De plus, nous suivons les délais spécifiques que chaque groupe de menaces utilise - l'un des moyens clés pour suivre un
Tracking threat groups over time is an important tool to help defenders hunt for evil on networks and conduct effective incident response. Knowing how certain groups operate makes for an efficient investigation and assists in easily identifying threat actor activity. At Mandiant, we utilize several methods to help identify and correlate threat group activity. A critical piece of our work involves tracking various operational items such as attacker infrastructure and email addresses. In addition, we track the specific backdoors each threat group utilizes - one of the key ways to follow a |
Malware Tool Threat Technical | ★★★★ | |
|
2013-10-01 13:45:52 | OpenIOC: Retour aux bases OpenIOC: Back to the Basics (lien direct) |
Un défi auxquels les enquêteurs sont confrontés lors de la réponse aux incidents est de trouver un moyen d'organiser des informations sur une activité des attaquants, des services publics, des logiciels malveillants et d'autres indicateurs de compromis, appelés IOC.Le format openIoc traite ce défi de front.OpenIOC fournit un format standard et des termes pour décrire les artefacts rencontrés au cours d'une enquête.Dans cet article, nous allons fournir un aperçu de haut niveau des CIO, y compris les cas d'utilisation du CIO, la structure d'une logique IOC et IOC.
Avant de continuer, il est important de mentionner que les CIO ne sont pas des signatures, et ce ne sont pas
One challenge investigators face during incident response is finding a way to organize information about an attackers\' activity, utilities, malware and other indicators of compromise, called IOCs. The OpenIOC format addresses this challenge head-on. OpenIOC provides a standard format and terms for describing the artifacts encountered during the course of an investigation. In this post we\'re going to provide a high-level overview of IOCs, including IOC use cases, the structure of an IOC and IOC logic. Before we continue, it\'s important to mention that IOCs are not signatures, and they aren |
Malware Technical | ★★★★ | |
|
2013-09-24 13:43:22 | Maintenant tu me vois - HORD H BY HOUDINI Now You See Me - H-worm by Houdini (lien direct) |
H-Worm est un rat VBS (Script Visual Basic) écrit par un individu portant le nom Houdini.Nous pensons que l'auteur est basé en Algérie et a des liens avec NJQ8, l'auteur de NJW0RM [1] et NJRAT / LV [2] au moyen d'une base de code partagée ou commune.Nous avons vu le rat H-Worm être employé dans des attaques ciblées contre l'industrie internationale de l'énergie;Cependant, nous le voyons également être utilisé dans un contexte plus large en tant que gamme des attaques de l'usine via des pièces jointes spammées et des liens malveillants.
La charge utile
La charge utile du ver-ver est simplement un fichier VBS, qui est souvent enveloppé, dans un pe
H-worm is a VBS (Visual Basic Script) based RAT written by an individual going by the name Houdini. We believe the author is based in Algeria and has connections to njq8, the author of njw0rm [1] and njRAT/LV [2] through means of a shared or common code base. We have seen the H-worm RAT being employed in targeted attacks against the international energy industry; however, we also see it being employed in a wider context as run of the mill attacks through spammed email attachments and malicious links. The Payload The H-worm payload is simply a VBS file, which is often wrapped, in a PE |
Technical | ★★★★ | |
|
2013-09-06 03:00:00 | Tactiques évasives: Tairoor Evasive Tactics: Taidoor (lien direct) |
Le malware Tairoor a été utilisé dans de nombreuses campagnes de cyber-espionnage en cours.Ses victimes comprennent les agences gouvernementales, les entités d'entreprise et les groupes de réflexion, en particulier ceux qui ont des intérêts à Taïwan.[1] Dans une attaque typique, les cibles reçoivent un spear-phishing e-mail qui les encourage à ouvrir un fichier joint.Si elle est ouverte sur un système vulnérable, les logiciels malveillants sont installés silencieusement sur l'ordinateur de la cible \\ tandis qu'un document de leurre avec du contenu légitime est ouvert qui est destiné à atténuer les soupçons dont la cible peut avoir.Tairoor a réussi à compromettre les cibles depuis 2008 et se poursuit
The Taidoor malware has been used in many ongoing cyber espionage campaigns. Its victims include government agencies, corporate entities, and think tanks, especially those with interests in Taiwan. [1] In a typical attack, targets receive a spear-phishing email which encourages them to open an attached file. If opened on a vulnerable system, malware is silently installed on the target\'s computer while a decoy document with legitimate content is opened that is intended to alleviate any suspicions the target may have. Taidoor has been successfully compromising targets since 2008, and continues |
Malware Technical | ★★★★ | |
|
2013-04-23 00:30:00 | Rappels de logiciels malveillants Malware Callbacks (lien direct) |
Aujourd'hui, nous avons publié notre premier Analyse des rappels de logiciels malveillants .
Fireeye a surveillé plus de 12 millions de communications de logiciels malveillants à la recherche d'instructions - ou des rappels - accessible à des centaines de milliers d'hôtes d'entreprise infectés, capturant les détails des attaques avancées ainsi que des variétés plus génériques au cours de 2012.Les intentions, les intérêts et l'emplacement géographique d'un attaquant.Les cyberattaques sont une activité mondiale répandue.Nous avons créé des cartes interactives qui mettent en évidence la présence de logiciels malveillants à l'échelle mondiale: http://www.fireeye.com/cyber-Attack-Landscape /
Today we released our first-ever analysis of malware callbacks. FireEye monitored more than 12 million malware communications seeking instructions-or callbacks-across hundreds of thousands of infected enterprise hosts, capturing details of advanced attacks as well as more generic varieties during the course of 2012. Callback activity reveals a great deal about an attacker\'s intentions, interests and geographic location. Cyber attacks are a widespread global activity. We\'ve built interactive maps that highlight the presence of malware globally: http://www.fireeye.com/cyber-attack-landscape/ |
Malware Technical | ★★★ | |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ | |
|
2011-07-20 23:05:35 | Déchirant le registre de Windows avec un réglage de Python Tearing up the Windows Registry with python-registry (lien direct) |
Récemment, je voulais creuser profondément dans un artefact médico-légal résidant dans le registre de Windows.Pour rendre la tâche plus intéressante, je me suis mis au défi d'utiliser uniquement des outils natifs de mon système d'exploitation préféré: Linux.J'ai été rapidement déçu, cependant, car il y a peu d'outils ouverts et multiplateformes pour le registre de Windows Registry au-delà du registre Win32 :: de Perl \\.J'ai donc écrit un outil pour combler ce vide à l'aide de Python - mon langage de programmation préféré.Python-Registry est le résultat de cet effort et offre un accès pratique aux fichiers de registre Windows.Puisqu'il est pur python, il peut être utilisé sur tous les principaux
Recently, I wanted to dig deep into a forensic artifact resident in the Windows Registry. To make the task more interesting, I challenged myself to use only tools native to my favorite operating system: Linux. I was quickly disappointed, however, as there are few open and cross-platform tools for Windows Registry forensics beyond Perl\'s Win32::Registry. So, I wrote a tool to fill this void using Python - my favorite programming language. Python-registry is the result of this effort, and provides convenient access to Windows Registry files. Since it is pure Python, it can be used on all major |
Tool Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
