What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2017-03-07 14:00:00 | La campagne Fin7 Spear Phishing cible le personnel impliqué dans les dépôts de la SEC FIN7 Spear Phishing Campaign Targets Personnel Involved in SEC Filings (lien direct) |
Fin février 2017, FireEye en tant que service (FAAS) a identifié une campagne de phishing de lance qui semblait cibler le personnel impliqué dans les dossiers des États-Unis en matière de valeurs mobilières et de l'échange (SEC) dans diverses organisations.Sur la base de plusieurs chevauchements identifiés dans les infrastructures et de l'utilisation d'outils, de tactiques et de procédures similaires (TTPS), nous avons une grande confiance que cette campagne est associée au groupe de menaces motivé financièrement suivi par Fireeye en tant que fin7.
Fin7 est un ensemble d'intrusion à motivation financière qui cible sélectivement les victimes et utilise le phishing de lance pour distribuer
In late February 2017, FireEye as a Service (FaaS) identified a spear phishing campaign that appeared to be targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. Based on multiple identified overlaps in infrastructure and the use of similar tools, tactics, and procedures (TTPs), we have high confidence that this campaign is associated with the financially motivated threat group tracked by FireEye as FIN7. FIN7 is a financially motivated intrusion set that selectively targets victims and uses spear phishing to distribute |
Threat Technical | ★★★★ | |
|
2017-03-03 13:00:00 | Évasion antivirus reconstruite & # 8211;Voile 3.0 AntiVirus Evasion Reconstructed – Veil 3.0 (lien direct) |
le Veil Framework est une collection d'outils conçus pour être utilisés lors de tests de sécurité offensive.Lorsque le temps l'appelle, mandiant \\L'équipe rouge utilisera le voile-trame pour atteindre leur objectif.L'outil le plus couramment utilisé est le voile-évasion, qui peut transformer un script arbitraire ou un morceau de shellcode en un exécutable Windows qui échappera aux détections par des produits antivirus courants.
Veil 2.0 a été rendu public le 17 juin 2013 et le cadre principal est resté largement inchangé depuis cette date.Il y a eu quelques modifications dans le cadre lui-même, mais ceux-ci ont
The Veil Framework is a collection of tools designed for use during offensive security testing. When the time calls for it, Mandiant\'s Red Team will use the Veil-Framework to help achieve their objective. The most commonly used tool is Veil-Evasion, which can turn an arbitrary script or piece of shellcode into a Windows executable that will evade detections by common antivirus products. Veil 2.0 was made publicly available on June 17, 2013, and the core framework has remained largely unchanged since that date. There have been some modifications to the framework itself, but these have |
Tool Technical | ★★★★ | |
|
2017-01-11 13:45:00 | Nouvelle variante du malware Ploutus ATM observé dans la nature en Amérique latine New Variant of Ploutus ATM Malware Observed in the Wild in Latin America (lien direct) |
Introduction Pouttus est l'une des familles de malware ATM les plus avancées que nous avons vues ces dernières années.Découvert pour le Première fois au Mexique En 2013, Ploutus a permis aux criminels de vider des distributeurs automatiques de billets en utilisant un clavier externe attaché à la machine ou | Malware Technical | ★★★★ | |
|
2016-09-23 09:30:00 | Hancitor (alias Chanitor) a observé en utilisant plusieurs approches d'attaque Hancitor (AKA Chanitor) observed using multiple attack approaches (lien direct) |
De nombreux acteurs de menace utilisent plusieurs vecteurs d'attaque pour assurer le succès.Les individus utilisant des logiciels malveillants Hancitor (également connus sous le nom de Chanitor) ne font pas exception et ont adopté trois approches pour livrer le malware afin de voler finalement des données à leurs victimes.Ces techniques incluent des méthodes peu commissaires sur les abus et le powerShell API.
Nous avons récemment observé des attaques de Hancitor contre certains de nos clients de garde d'exploits Fireeye.Le document malveillant utilisé pour livrer l'exécutable Hancitor a été observé distribué comme pièce jointe dans le spam de courrier électronique.Une fois téléchargé et exécuté, il laisse tomber un
Many threat actors use multiple attack vectors to ensure success. The individuals using Hancitor malware (also known by the name Chanitor) are no exception and have taken three approaches to deliver the malware in order to ultimately steal data from their victims. These techniques include uncommon API abuse and PowerShell methods. We recently observed Hancitor attacks against some of our FireEye Exploit Guard customers. The malicious document used to deliver the Hancitor executable was observed being distributed as an attachment in email spam. Once downloaded and executed, it drops an |
Malware Threat Technical | ★★★★ | |
|
2016-08-22 07:00:00 | Piratage matériel intégré 101 & # 8211;Le lien Belkin Wemo Embedded Hardware Hacking 101 – The Belkin WeMo Link (lien direct) |
Pourquoi le piratage intégré?
Les appareils connectés à Internet ou exécutent un système d'exploitation complet deviennent de plus en plus répandus dans la société d'aujourd'hui.Des appareils pour les locomotives aux commutateurs d'éclairage sans fil, la tendance de l'Internet des objets (IoT) est en augmentation et ici pour rester.Cela a le potentiel de nous faciliter la vie;Cependant, la sensibilité croissante des appareils analogiques une fois permet également aux adversaires de les cibler et de les utiliser potentiellement.
Avec l'omniprésence de ces appareils connectés à Internet, il y a un excédent de «choses» à exploiter.L'intention principale de cet article de blog est
Why Embedded Hacking? Devices that are connected to the Internet or run a full operating system are becoming more and more prevalent in today\'s society. From devices for locomotives to wireless light switches, the Internet of Things (IoT) trend is on the rise and here to stay. This has the potential to make our lives much easier; however, the increasing sentience of once analog devices also enables adversaries to target them and potentially misuse them. With the ubiquity of these Internet-connected devices, there is a surplus of “Things” to exploit. The main intent of this blog post is |
Prediction Technical | ★★★★ | |
|
2016-08-18 07:00:00 | WMI vs WMI: surveillance de l'activité malveillante WMI vs. WMI: Monitoring for Malicious Activity (lien direct) |
Bonjour, je m'appelle: WMI
WMI est un composant central de Windows depuis Windows 98, mais ce n'est pas exactement le vin dans une nouvelle bouteille.WMI ressemble plus étroitement à cette bouteille de vin \\ '61 Bordeaux qui continue de nous impressionner à mesure qu'elle vieillit et mûrit.WMI a été développé comme l'interprétation de Microsoft \\ de la gestion des entreprises basée sur le Web (WBEM) pour la gestion et l'audit du système;Cependant, les adversaires peuvent l'utiliser pour toutes les étapes du cycle de vie des attaques (illustré à la figure 1), de la création de l'attention initiale sur un système pour voler des données de l'environnement et tout entre les deux.À partir d'une enquête
Hello my name is: WMI WMI has been a core component of Windows since Windows 98, but it is not exactly old wine in a new bottle. WMI more closely resembles that bottle of \'61 Bordeaux wine that continues to impress us as it ages and matures. WMI was developed as Microsoft\'s interpretation of web-based enterprise management (WBEM) for system management and auditing; however, adversaries can use it for all stages of the Attack Lifecycle (shown in Figure 1), from creating the initial foothold on a system to stealing data from the environment and everything in-between. From an investigative |
Technical | ★★★★ | |
|
2016-08-03 03:30:00 | FAKENET-NG: outil d'analyse de réseau dynamique de prochaine génération FakeNet-NG: Next Generation Dynamic Network Analysis Tool (lien direct) |
En tant qu'équipe insensée dans l'équipe Flare (Fireeye Labs Advanced Inverse Engineering), j'effectue régulièrement une analyse dynamique de base des échantillons de logiciels malveillants.L'objectif est d'observer rapidement les caractéristiques d'exécution en exécutant des binaires dans un environnement sûr.Une tâche importante lors de l'analyse dynamique consiste à imiter l'environnement réseau et à inciter les logiciels malveillants à penser qu'il est connecté à Internet.Une fois bien fait, le logiciel malveillant révèle ses signatures de réseau telles que les noms de domaine de commande et de contrôle (C2), les chaînes d'agent utilisateur, les URL interrogées, etc.
Un outil de choix est Fakennet.Dans ce blog, je
As a reverse engineer on the FLARE (FireEye Labs Advanced Reverse Engineering) team, I regularly perform basic dynamic analysis of malware samples. The goal is to quickly observe runtime characteristics by running binaries in a safe environment. One important task during dynamic analysis is to emulate the network environment and trick the malware into thinking it is connected to the Internet. When done right, the malware reveals its network signatures such as command and control (C2) domain names, User-Agent strings, URLs queried, and so on. One tool of choice is FakeNet. In this blog, I |
Malware Tool Technical | ★★★★ | |
|
2016-06-28 04:00:00 | La dernière diffusion malveillante de superposition Android se propage via le phishing SMS en Europe The Latest Android Overlay Malware Spreading via SMS Phishing in Europe (lien direct) |
Introduction
En avril 2016, tout en enquêtant sur une campagne de smirs surnommée RUMMS qui impliquait le ciblage des utilisateurs d'Android en Russie, nous avons également remarqué trois campagnes de smirs similaires qui se seraient répandues au Danemark (février 2016), en Italie (février 2016), et dans les deuxDanemark et Italie (avril 2016).
Contrairement à la campagne Rumms, ces trois campagnes en Europe ont utilisé des techniques de superposition de vue (la même technique que nous avons décrite être utilisée par Slembunk Malware) pour présenter des internes d'entrée d'identification presque identiques comme le montrent les applications bénigne
Introduction In April 2016, while investigating a Smishing campaign dubbed RuMMS that involved the targeting of Android users in Russia, we also noticed three similar Smishing campaigns reportedly spreading in Denmark (February 2016), in Italy (February 2016), and in both Denmark and Italy (April 2016). Unlike the RuMMS campaign, these three campaigns in Europe used view overlay techniques (the same technique we described being used by SlemBunk malware) to present nearly identical credential input UIs as seen in benign apps, subsequently tricking unwary users into providing their banking |
Malware Technical | ★★★★ | |
|
2016-06-23 08:00:00 | Extraction automatique des chaînes obscurcies des logiciels malveillants à l'aide du solveur de chaîne obscurci de FireEye Labs (fil de fil) Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) (lien direct) |
Introduction et motivation
Avez-vous déjà exécuté Strings.exe sur un exécutable malware et sa sortie vous a fourni des adresses IP, des noms de fichiers, des clés de registre et d'autres indicateurs de compromis (IOC)?Super!Pas besoin d'exécuter une analyse plus approfondie ou d'embaucher des experts coûteux pour déterminer si un fichier est malveillant, son utilisation prévue et comment trouver d'autres cas.Malheureusement, les auteurs de logiciels malveillants ont compris et essaient de dissuader votre analyse.Bien que ces auteurs essaient de protéger leurs exécutables, nous vous apprendrons à utiliser le solveur de cordes obscurci de FireEye Labs pour récupérer sensible
Introduction and Motivation Have you ever run strings.exe on a malware executable and its output provided you with IP addresses, file names, registry keys, and other indicators of compromise (IOCs)? Great! No need to run further analysis or hire expensive experts to determine if a file is malicious, its intended usage, and how to find other instances. Unfortunately, malware authors have caught on and are trying to deter your analysis. Although these authors try to protect their executables, we will teach you to use the FireEye Labs Obfuscated Strings Solver (FLOSS) to recover sensitive |
Malware Technical | ★★★★ | |
|
2016-05-20 13:59:00 | Comment les logiciels malveillants RTF échappe à la détection basée sur la signature statique How RTF malware evades static signature-based detection (lien direct) |
Histoire
Rich Text Format (RTF) est un format de document développé par Microsoft qui a été largement utilisé sur diverses plates-formes depuis plus de 29 ans.Le format RTF est très flexible et donc compliqué.Cela rend le développement d'un analyseur RTF sûr difficile.Certaines vulnérabilités notoires telles que cve-2010-3333 et CVE-2014-1761 ont été causés par des erreurs dansImplémentation de la logique de l'analyse RTF.
En fait, les logiciels malveillants RTF ne se limitent pas à l'exploitation des vulnérabilités d'analyse RTF.Les fichiers RTF malveillants peuventInclure d'autres vulnérabilités sans rapport avec l'analyseur RTF car RTF prend en charge l'incorporation de
History Rich Text Format (RTF) is a document format developed by Microsoft that has been widely used on various platforms for more than 29 years. The RTF format is very flexible and therefore complicated. This makes the development of a safe RTF parsers challenging. Some notorious vulnerabilities such as CVE-2010-3333 and CVE-2014-1761 were caused by errors in implementing RTF parsing logic. In fact, RTF malware is not limited to exploiting RTF parsing vulnerabilities. Malicious RTF files can include other vulnerabilities unrelated to the RTF parser because RTF supports the embedding of |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-11 14:00:00 | MENONAGE L'acteur tire parti de Windows Zero-Day Exploit dans les attaques de données de la carte de paiement Threat Actor Leverages Windows Zero-day Exploit in Payment Card Data Attacks (lien direct) |
En mars 2016, un acteur de menace à motivation financière a lancé plusieurs campagnes de phishing de lance sur mesure ciblant principalement les industries de la vente au détail, du restaurant et de l'hôtellerie.Les e-mails contenaient des variations de Microsoft Word Documents avec | Threat Technical | ★★★★ | |
|
2016-05-03 07:30:00 | Python bytecode déobfuscting Deobfuscating Python Bytecode (lien direct) |
Introduction
Au cours d'une enquête, l'équipe Flare est tombée sur un échantillon de logiciel malveillant Python intéressant (MD5: 61A9F80612D3F7566DB5BDF37BBF22CF ) qui est emballé à l'aide de py2exe .PY2EXE est un moyen populaire de compiler et de packer les scripts Python en exécutables.Lorsque nous rencontrons ce type de logiciels malveillants, nous décomplimons et lisons généralement le code source Python.Cependant, ce malware était différent, il a fait manipuler ses bytecode pour l'empêcher d'être décompilé facilement!
Dans ce blog, nous analyserons les logiciels malveillants et montrerons comment nous avons supprimé l'obscurcissement, ce qui nous a permis de produire un décompilé propre
Introduction During an investigation, the FLARE team came across an interesting Python malware sample (MD5: 61a9f80612d3f7566db5bdf37bbf22cf ) that is packaged using py2exe. Py2exe is a popular way to compile and package Python scripts into executables. When we encounter this type of malware we typically just decompile and read the Python source code. However, this malware was different, it had its bytecode manipulated to prevent it from being decompiled easily! In this blog we\'ll analyze the malware and show how we removed the obfuscation, which allowed us to produce a clean decompile |
Malware Technical | ★★★★ | |
|
2016-03-23 07:00:00 | Authentification à deux facteurs meilleures pratiques: 99 problèmes mais à deux facteurs Two-factor Authentication Best Practices: 99 Problems but Two-Factor Ain\\'t One (lien direct) |
L'authentification à deux facteurs est une meilleure pratique pour obtenir un accès à distance, mais c'est aussi un Saint Graal pour une équipe rouge motivée.Se cacher sous le couvert d'un utilisateur légitime authentifié par plusieurs informations d'identification est l'un des meilleurs moyens de rester non détectés dans un environnement.De nombreuses entreprises considèrent leurs solutions à deux facteurs comme infaillibles et ne prennent pas de précautions pour protéger contre les attaquants \\ 'tentatives de les contourner ou de les déambuler.
Les techniques couvertes dans ce blog vont des méthodes simples à avancées de gestion de l'authentification à deux facteurs du point de vue d'une équipe rouge et de fournir
Two-factor authentication is a best practice for securing remote access, but it is also a Holy Grail for a motivated red team. Hiding under the guise of a legitimate user authenticated through multiple credentials is one of the best ways to remain undetected in an environment. Many companies regard their two-factor solutions as infallible and do not take precautions to protect against attackers\' attempts to bypass or backdoor them. The techniques covered in this blog range from simple to advanced methods of handling two-factor authentication from the perspective of a red team, and provide |
Technical | ★★★ | |
|
2016-02-11 12:53:00 | Plus grande visibilité grâce à la journalisation de PowerShell Greater Visibility Through PowerShell Logging (lien direct) |
Mise à jour (29 février): Ce message a été mis à jour avec de nouvelles recommandations de configuration en raison de la rediffusion du 24 février PowerShell 5, et comprend désormais un lien vers un script d'analyse que les utilisateurs peuvent trouver précieux.
Introduction
Mandiant enquête continuellement sur les attaques qui exploitent PowerShell à toutes les phases de l'attaque.Un problème courant que nous rencontrons est le manque de journalisation disponible qui montre adéquatement quelles actions l'attaquant a effectué à l'aide de PowerShell.Dans ces enquêtes, Mandiant propose régulièrement des conseils sur l'augmentation de l'exploitation de PowerShell pour fournir aux enquêteurs une détection
UPDATE (Feb. 29): This post has been updated with new configuration recommendations due to the Feb. 24 rerelease of PowerShell 5, and now includes a link to a parsing script that users may find valuable. Introduction Mandiant is continuously investigating attacks that leverage PowerShell throughout all phases of the attack. A common issue we experience is a lack of available logging that adequately shows what actions the attacker performed using PowerShell. In those investigations, Mandiant routinely offers guidance on increasing PowerShell logging to provide investigators a detection |
Technical | ★★★★ | |
|
2016-01-07 13:56:00 | Sandworm Team et Ukrainian Power Authority Attacks Sandworm Team and the Ukrainian Power Authority Attacks (lien direct) |
MISE À JOUR 1.11.16 - L'équipe SANS ICS connecte Dots
Mise à jour de l'entrée du blog pour attirer l'attention sur la récente analyse publiée par Mike Assante de l'équipe SANS ICS.
"Après avoir analysé les informations qui ont été mises à disposition par les sociétés d'électricité concernées, les chercheurs et les médias, il est clair que les cyberattaques étaient directement responsables des pannes de courant en Ukraine. L'équipe SANS ICS a coordonné les discussions en cours et fourni des analysesÀ travers plusieurs membres et entreprises de la communauté internationale. Nous évaluons avec une grande confiance en fonction des déclarations de l'entreprise, les médias
Update 1.11.16 - SANS ICS Team Connects Dots
Updating the blog entry to bring attention to the recent analysis published by Mike Assante from the SANS ICS team.
"After analyzing the information that has been made available by affected power companies, researchers, and the media it is clear that cyber attacks were directly responsible for power outages in Ukraine. The SANS ICS team has been coordinating ongoing discussions and providing analysis across multiple international community members and companies. We assess with high confidence based on company statements, media |
Technical | ★★★★ | |
|
2015-12-01 13:00:00 | Le groupe de cyber-menaces basé en Chine utilise Dropbox pour les communications de logiciels malveillants et cible les médias de Hong Kong China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets (lien direct) |
Fireeye Intelligence Centerfireeye Threat Intelligence Analysts a identifié une campagne de phishing de lance réalisée en août 2015 en ciblant les organisations de médias basées à Hong Kong.Un groupe de cyber-menaces basé en Chine, que Fireeye suit en tant que groupe de menaces persistantes avancé (APT) non classé et d'autres chercheurs appellent «admin @ 338», peut avoir mené l'activité. [1] Les e-mails contenaient des documents malveillants avec une charge utile malveillante appelée lowball.Lowball abuse du service de stockage cloud Dropbox pour la commande et le contrôle (CNC).Nous avons collaboré avec Dropbox pour enquêter sur la menace, et
FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized advanced persistent threat (APT) group and other researchers refer to as “admin@338,” may have conducted the activity.[1] The email messages contained malicious documents with a malware payload called LOWBALL. LOWBALL abuses the Dropbox cloud storage service for command and control (CnC). We collaborated with Dropbox to investigate the threat, and |
Malware Threat Cloud Technical | ★★★★ | |
|
2015-09-15 02:00:00 | Synful Knock - Un implant de routeur Cisco - Partie I SYNful Knock - A Cisco router implant - Part I (lien direct) |
Présentation
Les implants de routeur , de tout fournisseur de l'espace d'entreprise, ont été largement considérés comme de nature théorique et surtout en usage.Cependant, les récents avis des fournisseurs indiquent que ceux-ci ont été observés dans la nature. mandiant peut confirmer l'existence d'au moins 14 implants de routeurs de ce type répartis dans quatre pays différents: l'Ukraine, les Philippines, le Mexique et l'Inde.
Synful Knock est une modification furtive de l'image du firmware du routeur \\ qui peut être utilisée pour maintenir la persistance au sein d'un réseau de victime.Il est de nature personnalisable et modulaire et peut donc être mis à jour une fois
Overview Router implants, from any vendor in the enterprise space, have been largely believed to be theoretical in nature and especially in use. However, recent vendor advisories indicate that these have been seen in the wild. Mandiant can confirm the existence of at least 14 such router implants spread across four different countries: Ukraine, Philippines, Mexico, and India. SYNful Knock is a stealthy modification of the router\'s firmware image that can be used to maintain persistence within a victim\'s network. It is customizable and modular in nature and thus can be updated once |
Technical | ★★★★ | |
|
2015-04-01 15:17:27 | Microsoft Word Intruder (MWI): un nouveau kit d'exploitation de documents Word Microsoft Word Intruder (MWI): A New Word Document Exploit Kit (lien direct) |
Les outils utilisés pour créer des documents malveillants qui exploitent les vulnérabilités dans Microsoft Word sont désormais annoncés dans des forums underground et un nouvel outil a émergé qui offre la possibilité de suivre l'efficacité des campagnes.Le constructeur, Microsoft Word Intruder (MWI), est annoncé comme un outil «APT» à utiliser dans les attaques ciblées.Il s'accompagne d'un ensemble de statistiques appelé «Mwistat» qui permet aux opérateurs de suivre diverses campagnes.
Selon l'auteur, l'utilisation de MWI en collaboration avec le spam est interdite, et ceux qui ignorent ce risque pour que leur permis soit révoquée.Dans
The tools used to create malicious documents that exploit vulnerabilities in Microsoft Word are now being advertised in underground forums and one new tool has emerged that provides the ability to track the effectiveness of campaigns. The builder, Microsoft Word Intruder (MWI), is advertised as an “APT” tool to be used in targeted attacks. It is accompanied by a statistics package known as “MWISTAT” that allows operators to track various campaigns. According to the author, the use of MWI in conjunction with spam is forbidden, and those who ignore this risk having their license revoked. In |
Spam Tool Vulnerability Technical | ★★★★ | |
|
2015-01-08 20:39:00 | Flare Ida Pro Script Series: Génération de modèles de fonction Flair Using Idapython FLARE IDA Pro Script Series: Generating FLAIR function patterns using IDAPython (lien direct) |
L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Ceci est le troisième script Ida Pro que nous avons publié via ce blog et nous continuerons à publier ces scripts ici .
Résumé
Ce blog décrit un script idapython pour aider à l'ingénierie inverse de logiciels malveillants.Les signatures de flirt aident Ida Pro reconnaître les fonctions communes dans les programmes compilés et les renommer automatiquement pour l'ingénieur inverse.Le script idapython idb2pat.py génère des modèles IDA Pro Flair à partir des fichiers IDB existants.Vous pouvez l'utiliser pour générer des signatures de flirt pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. This is the third IDA Pro script we\'ve released via this blog and we\'ll continue to release these scripts here. Summary This blog describes an IDAPython script to assist with malware reverse engineering. FLIRT signatures help IDA Pro recognize common functions in compiled programs and automatically rename them for the reverse engineer. The IDAPython script idb2pat.py generates IDA Pro FLAIR patterns from existing IDB files. You can use it to generate FLIRT signatures for |
Malware Tool Technical | ★★★★ | |
|
2014-11-21 19:36:00 | Opération Double Tap Operation Double Tap (lien direct) |
apt3 (également connu sous le nom d'UPS), les acteurs responsables de Operation Clandestine Fox a tranquillement continué à envoyer des vagues de messages de spearphish au cours des derniersmois.Cet acteur a lancé sa dernière campagne le 19 novembre 2014 ciblant plusieurs organisations.L'attaquant a exploité plusieurs exploits, ciblant les deux CVE-2014-6332 et CVE-2014-4113 .Le CVE-2014-6332 a été divulgué publiquement le 2014-2011-11 et est une vulnérabilité d'exécution de code à distance de tableau d'automatisation Windows Ole.CVE-2014-4113 est une vulnérabilité d'escalade privilégiée qui était divulgué publiquement le 2014-10-14 .
l'utilisation de cve
APT3 (also known as UPS), the actors responsible for Operation Clandestine Fox has quietly continued to send waves of spearphishing messages over the past few months. This actor initiated their most recent campaign on November 19, 2014 targeting multiple organizations. The attacker leveraged multiple exploits, targeting both CVE-2014-6332 and CVE-2014-4113. CVE-2014-6332 was disclosed publicly on 2014-11-11 and is a Windows OLE Automation Array Remote Code Execution vulnerability. CVE-2014-4113 is a privilege escalation vulnerability that was disclosed publicly on 2014-10-14. The use of CVE |
Vulnerability Technical | APT 3 APT 3 | ★★★★ |
|
2014-09-03 18:00:29 | Le groupe APT préféré de Darwin \\ Darwin\\'s Favorite APT Group (lien direct) |
Introduction
Les attaquants appelés APT12 (également connu sous le nom d'Ixeshe, Dyncalc et DNSCALC) ont récemment lancé une nouvelle campagne ciblant les organisations au Japon et à Taïwan.L'APT12 serait un groupe de cyber-espionnage qui aurait des liens avec l'armée de libération du peuple chinois.Les objectifs d'APT12 \\ sont conformes aux objectifs de la République de Chine (PRC) de la République de Chine (PRC).Les intrusions et les campagnes menées par ce groupe sont en ligne avec les objectifs de la RPC et l'intérêt personnel à Taïwan.De plus, les nouvelles campagnes que nous avons révélées mettent davantage met en évidence la corrélation entre les groupes APT qui cessent et réoulèvent
Introduction The attackers referred to as APT12 (also known as IXESHE, DynCalc, and DNSCALC) recently started a new campaign targeting organizations in Japan and Taiwan. APT12 is believed to be a cyber espionage group thought to have links to the Chinese People\'s Liberation Army. APT12\'s targets are consistent with larger People\'s Republic of China (PRC) goals. Intrusions and campaigns conducted by this group are in-line with PRC goals and self-interest in Taiwan. Additionally, the new campaigns we uncovered further highlight the correlation between APT groups ceasing and retooling |
Technical | APT 12 | ★★★★ |
|
2014-04-03 09:48:00 | DLL à chargement latéral: un autre point mort pour antivirus DLL Side-Loading: Another Blind-Spot for Anti-Virus (lien direct) |
Le mois dernier, j'ai présenté une conférence à la conférence RSA USA sur un vecteur de menace de plus en plus populaire appelé «Dynamic-Link Library-Wadinging» (DLL Side-Wading).Comme pour de nombreuses vulnérabilités, cet exploit existe depuis assez longtemps et est le résultat de Microsoft qui cherche à faciliter les mises à jour binaires pour les développeurs Windows via la fonction d'assemblage Windows côte à côte (WINSXS).
Maintenant, cependant, les développeurs avancés de menace persistante (APT) utilisent la méthode inoffensive de chargement latéral DLL pour faufiler les scanners antivirus (AV) de malware (AV) alors que les fichiers infectés fonctionnent en mémoire.Ce faisant, le
Last month, I presented a talk at the RSA USA Conference on an increasingly popular threat vector called “Dynamic-Link Library Side-Loading” (DLL Side-Loading). As with many vulnerabilities, this exploit has existed for a rather long time and is the result of Microsoft looking to make binary updates easier for Windows developers through the Windows side-by-side (WinSxS) assembly feature. Now, though, advanced persistent threat (APT) developers are using the innocuous DLL Side-Loading method to sneak malware past anti-virus (AV) scanners as the infected files run in-memory. In doing-so, the |
Malware Threat Conference Technical | ★★★★ | |
|
2014-01-23 15:00:00 | Suivi des logiciels malveillants avec un hachage d'importation Tracking Malware with Import Hashing (lien direct) |
Le suivi des groupes de menaces au fil du temps est un outil important pour aider les défenseurs à rechercher le mal sur les réseaux et à mener une réponse efficace aux incidents.Savoir comment certains groupes opèrent en fait une enquête efficace et aide à identifier facilement l'activité des acteurs de la menace.
Chez Mandiant, nous utilisons plusieurs méthodes pour aider à identifier et corréler l'activité du groupe de menaces.Un élément critique de notre travail consiste à suivre divers éléments opérationnels tels que l'infrastructure d'attaquant et les adresses e-mail.De plus, nous suivons les délais spécifiques que chaque groupe de menaces utilise - l'un des moyens clés pour suivre un
Tracking threat groups over time is an important tool to help defenders hunt for evil on networks and conduct effective incident response. Knowing how certain groups operate makes for an efficient investigation and assists in easily identifying threat actor activity. At Mandiant, we utilize several methods to help identify and correlate threat group activity. A critical piece of our work involves tracking various operational items such as attacker infrastructure and email addresses. In addition, we track the specific backdoors each threat group utilizes - one of the key ways to follow a |
Malware Tool Threat Technical | ★★★★ | |
|
2013-10-01 13:45:52 | OpenIOC: Retour aux bases OpenIOC: Back to the Basics (lien direct) |
Un défi auxquels les enquêteurs sont confrontés lors de la réponse aux incidents est de trouver un moyen d'organiser des informations sur une activité des attaquants, des services publics, des logiciels malveillants et d'autres indicateurs de compromis, appelés IOC.Le format openIoc traite ce défi de front.OpenIOC fournit un format standard et des termes pour décrire les artefacts rencontrés au cours d'une enquête.Dans cet article, nous allons fournir un aperçu de haut niveau des CIO, y compris les cas d'utilisation du CIO, la structure d'une logique IOC et IOC.
Avant de continuer, il est important de mentionner que les CIO ne sont pas des signatures, et ce ne sont pas
One challenge investigators face during incident response is finding a way to organize information about an attackers\' activity, utilities, malware and other indicators of compromise, called IOCs. The OpenIOC format addresses this challenge head-on. OpenIOC provides a standard format and terms for describing the artifacts encountered during the course of an investigation. In this post we\'re going to provide a high-level overview of IOCs, including IOC use cases, the structure of an IOC and IOC logic. Before we continue, it\'s important to mention that IOCs are not signatures, and they aren |
Malware Technical | ★★★★ | |
|
2013-09-24 13:43:22 | Maintenant tu me vois - HORD H BY HOUDINI Now You See Me - H-worm by Houdini (lien direct) |
H-Worm est un rat VBS (Script Visual Basic) écrit par un individu portant le nom Houdini.Nous pensons que l'auteur est basé en Algérie et a des liens avec NJQ8, l'auteur de NJW0RM [1] et NJRAT / LV [2] au moyen d'une base de code partagée ou commune.Nous avons vu le rat H-Worm être employé dans des attaques ciblées contre l'industrie internationale de l'énergie;Cependant, nous le voyons également être utilisé dans un contexte plus large en tant que gamme des attaques de l'usine via des pièces jointes spammées et des liens malveillants.
La charge utile
La charge utile du ver-ver est simplement un fichier VBS, qui est souvent enveloppé, dans un pe
H-worm is a VBS (Visual Basic Script) based RAT written by an individual going by the name Houdini. We believe the author is based in Algeria and has connections to njq8, the author of njw0rm [1] and njRAT/LV [2] through means of a shared or common code base. We have seen the H-worm RAT being employed in targeted attacks against the international energy industry; however, we also see it being employed in a wider context as run of the mill attacks through spammed email attachments and malicious links. The Payload The H-worm payload is simply a VBS file, which is often wrapped, in a PE |
Technical | ★★★★ | |
|
2013-09-06 03:00:00 | Tactiques évasives: Tairoor Evasive Tactics: Taidoor (lien direct) |
Le malware Tairoor a été utilisé dans de nombreuses campagnes de cyber-espionnage en cours.Ses victimes comprennent les agences gouvernementales, les entités d'entreprise et les groupes de réflexion, en particulier ceux qui ont des intérêts à Taïwan.[1] Dans une attaque typique, les cibles reçoivent un spear-phishing e-mail qui les encourage à ouvrir un fichier joint.Si elle est ouverte sur un système vulnérable, les logiciels malveillants sont installés silencieusement sur l'ordinateur de la cible \\ tandis qu'un document de leurre avec du contenu légitime est ouvert qui est destiné à atténuer les soupçons dont la cible peut avoir.Tairoor a réussi à compromettre les cibles depuis 2008 et se poursuit
The Taidoor malware has been used in many ongoing cyber espionage campaigns. Its victims include government agencies, corporate entities, and think tanks, especially those with interests in Taiwan. [1] In a typical attack, targets receive a spear-phishing email which encourages them to open an attached file. If opened on a vulnerable system, malware is silently installed on the target\'s computer while a decoy document with legitimate content is opened that is intended to alleviate any suspicions the target may have. Taidoor has been successfully compromising targets since 2008, and continues |
Malware Technical | ★★★★ | |
|
2013-04-23 00:30:00 | Rappels de logiciels malveillants Malware Callbacks (lien direct) |
Aujourd'hui, nous avons publié notre premier Analyse des rappels de logiciels malveillants .
Fireeye a surveillé plus de 12 millions de communications de logiciels malveillants à la recherche d'instructions - ou des rappels - accessible à des centaines de milliers d'hôtes d'entreprise infectés, capturant les détails des attaques avancées ainsi que des variétés plus génériques au cours de 2012.Les intentions, les intérêts et l'emplacement géographique d'un attaquant.Les cyberattaques sont une activité mondiale répandue.Nous avons créé des cartes interactives qui mettent en évidence la présence de logiciels malveillants à l'échelle mondiale: http://www.fireeye.com/cyber-Attack-Landscape /
Today we released our first-ever analysis of malware callbacks. FireEye monitored more than 12 million malware communications seeking instructions-or callbacks-across hundreds of thousands of infected enterprise hosts, capturing details of advanced attacks as well as more generic varieties during the course of 2012. Callback activity reveals a great deal about an attacker\'s intentions, interests and geographic location. Cyber attacks are a widespread global activity. We\'ve built interactive maps that highlight the presence of malware globally: http://www.fireeye.com/cyber-attack-landscape/ |
Malware Technical | ★★★ | |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ | |
|
2011-07-20 23:05:35 | Déchirant le registre de Windows avec un réglage de Python Tearing up the Windows Registry with python-registry (lien direct) |
Récemment, je voulais creuser profondément dans un artefact médico-légal résidant dans le registre de Windows.Pour rendre la tâche plus intéressante, je me suis mis au défi d'utiliser uniquement des outils natifs de mon système d'exploitation préféré: Linux.J'ai été rapidement déçu, cependant, car il y a peu d'outils ouverts et multiplateformes pour le registre de Windows Registry au-delà du registre Win32 :: de Perl \\.J'ai donc écrit un outil pour combler ce vide à l'aide de Python - mon langage de programmation préféré.Python-Registry est le résultat de cet effort et offre un accès pratique aux fichiers de registre Windows.Puisqu'il est pur python, il peut être utilisé sur tous les principaux
Recently, I wanted to dig deep into a forensic artifact resident in the Windows Registry. To make the task more interesting, I challenged myself to use only tools native to my favorite operating system: Linux. I was quickly disappointed, however, as there are few open and cross-platform tools for Windows Registry forensics beyond Perl\'s Win32::Registry. So, I wrote a tool to fill this void using Python - my favorite programming language. Python-registry is the result of this effort, and provides convenient access to Windows Registry files. Since it is pure Python, it can be used on all major |
Tool Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
