What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2016-11-04 08:01:01 | Solutions de défi Flare-on 2016 2016 2016 Flare-On Challenge Solutions (lien direct) |
Nous sommes heureux d'annoncer la conclusion du troisième défi Flare-on.Le prix de cette année est un badge de style policier qui est toujours en production, mais nous pouvons partager avec vous ce contour teaser.Tous les 124 gagnants de cette année \'s Challenge en recevra un (à 10h du matin à l'est).Cette année, nous avons eu une participation fantastique avec un total de 2 063 joueurs!
 Je tiens à remercier les auteurs du défi cette année:
Alexander Rich
MattWilliams (@ 0xmwilliams)
Dominik Weber
James T. Bennett (@jtBennettjr)
Tyler Dean
Josh Homan
Alex Berry
Nick Harbor (@nickharbour)
Jon Erickson (@ 2130706433)
We are pleased to announce the conclusion of the third Flare-On challenge. This year\'s prize is a police-style badge that is still in production, but we can share with you this teaser outline. All 124 winners of this year\'s challenge will receive one (as of 10am Eastern). This year we had fantastic participation with a total of 2,063 players!  I would like to thank the challenge authors this year:
Alexander Rich
Matt Williams (@0xmwilliams)
Dominik Weber
James T. Bennett (@jtbennettjr)
Tyler Dean
Josh Homan
Alex Berry
Nick Harbour (@nickharbour)
Jon Erickson (@2130706433) |
★★★ | ||
|
2016-09-23 09:30:00 | Hancitor (alias Chanitor) a observé en utilisant plusieurs approches d'attaque Hancitor (AKA Chanitor) observed using multiple attack approaches (lien direct) |
De nombreux acteurs de menace utilisent plusieurs vecteurs d'attaque pour assurer le succès.Les individus utilisant des logiciels malveillants Hancitor (également connus sous le nom de Chanitor) ne font pas exception et ont adopté trois approches pour livrer le malware afin de voler finalement des données à leurs victimes.Ces techniques incluent des méthodes peu commissaires sur les abus et le powerShell API.
Nous avons récemment observé des attaques de Hancitor contre certains de nos clients de garde d'exploits Fireeye.Le document malveillant utilisé pour livrer l'exécutable Hancitor a été observé distribué comme pièce jointe dans le spam de courrier électronique.Une fois téléchargé et exécuté, il laisse tomber un
Many threat actors use multiple attack vectors to ensure success. The individuals using Hancitor malware (also known by the name Chanitor) are no exception and have taken three approaches to deliver the malware in order to ultimately steal data from their victims. These techniques include uncommon API abuse and PowerShell methods. We recently observed Hancitor attacks against some of our FireEye Exploit Guard customers. The malicious document used to deliver the Hancitor executable was observed being distributed as an attachment in email spam. Once downloaded and executed, it drops an |
Malware Threat Technical | ★★★★ | |
|
2016-08-22 07:00:00 | Piratage matériel intégré 101 & # 8211;Le lien Belkin Wemo Embedded Hardware Hacking 101 – The Belkin WeMo Link (lien direct) |
Pourquoi le piratage intégré?
Les appareils connectés à Internet ou exécutent un système d'exploitation complet deviennent de plus en plus répandus dans la société d'aujourd'hui.Des appareils pour les locomotives aux commutateurs d'éclairage sans fil, la tendance de l'Internet des objets (IoT) est en augmentation et ici pour rester.Cela a le potentiel de nous faciliter la vie;Cependant, la sensibilité croissante des appareils analogiques une fois permet également aux adversaires de les cibler et de les utiliser potentiellement.
Avec l'omniprésence de ces appareils connectés à Internet, il y a un excédent de «choses» à exploiter.L'intention principale de cet article de blog est
Why Embedded Hacking? Devices that are connected to the Internet or run a full operating system are becoming more and more prevalent in today\'s society. From devices for locomotives to wireless light switches, the Internet of Things (IoT) trend is on the rise and here to stay. This has the potential to make our lives much easier; however, the increasing sentience of once analog devices also enables adversaries to target them and potentially misuse them. With the ubiquity of these Internet-connected devices, there is a surplus of “Things” to exploit. The main intent of this blog post is |
Prediction Technical | ★★★★ | |
|
2016-08-18 07:00:00 | WMI vs WMI: surveillance de l'activité malveillante WMI vs. WMI: Monitoring for Malicious Activity (lien direct) |
Bonjour, je m'appelle: WMI
WMI est un composant central de Windows depuis Windows 98, mais ce n'est pas exactement le vin dans une nouvelle bouteille.WMI ressemble plus étroitement à cette bouteille de vin \\ '61 Bordeaux qui continue de nous impressionner à mesure qu'elle vieillit et mûrit.WMI a été développé comme l'interprétation de Microsoft \\ de la gestion des entreprises basée sur le Web (WBEM) pour la gestion et l'audit du système;Cependant, les adversaires peuvent l'utiliser pour toutes les étapes du cycle de vie des attaques (illustré à la figure 1), de la création de l'attention initiale sur un système pour voler des données de l'environnement et tout entre les deux.À partir d'une enquête
Hello my name is: WMI WMI has been a core component of Windows since Windows 98, but it is not exactly old wine in a new bottle. WMI more closely resembles that bottle of \'61 Bordeaux wine that continues to impress us as it ages and matures. WMI was developed as Microsoft\'s interpretation of web-based enterprise management (WBEM) for system management and auditing; however, adversaries can use it for all stages of the Attack Lifecycle (shown in Figure 1), from creating the initial foothold on a system to stealing data from the environment and everything in-between. From an investigative |
Technical | ★★★★ | |
|
2016-08-03 03:30:00 | FAKENET-NG: outil d'analyse de réseau dynamique de prochaine génération FakeNet-NG: Next Generation Dynamic Network Analysis Tool (lien direct) |
En tant qu'équipe insensée dans l'équipe Flare (Fireeye Labs Advanced Inverse Engineering), j'effectue régulièrement une analyse dynamique de base des échantillons de logiciels malveillants.L'objectif est d'observer rapidement les caractéristiques d'exécution en exécutant des binaires dans un environnement sûr.Une tâche importante lors de l'analyse dynamique consiste à imiter l'environnement réseau et à inciter les logiciels malveillants à penser qu'il est connecté à Internet.Une fois bien fait, le logiciel malveillant révèle ses signatures de réseau telles que les noms de domaine de commande et de contrôle (C2), les chaînes d'agent utilisateur, les URL interrogées, etc.
Un outil de choix est Fakennet.Dans ce blog, je
As a reverse engineer on the FLARE (FireEye Labs Advanced Reverse Engineering) team, I regularly perform basic dynamic analysis of malware samples. The goal is to quickly observe runtime characteristics by running binaries in a safe environment. One important task during dynamic analysis is to emulate the network environment and trick the malware into thinking it is connected to the Internet. When done right, the malware reveals its network signatures such as command and control (C2) domain names, User-Agent strings, URLs queried, and so on. One tool of choice is FakeNet. In this blog, I |
Malware Tool Technical | ★★★★ | |
|
2016-06-28 04:00:00 | La dernière diffusion malveillante de superposition Android se propage via le phishing SMS en Europe The Latest Android Overlay Malware Spreading via SMS Phishing in Europe (lien direct) |
Introduction
En avril 2016, tout en enquêtant sur une campagne de smirs surnommée RUMMS qui impliquait le ciblage des utilisateurs d'Android en Russie, nous avons également remarqué trois campagnes de smirs similaires qui se seraient répandues au Danemark (février 2016), en Italie (février 2016), et dans les deuxDanemark et Italie (avril 2016).
Contrairement à la campagne Rumms, ces trois campagnes en Europe ont utilisé des techniques de superposition de vue (la même technique que nous avons décrite être utilisée par Slembunk Malware) pour présenter des internes d'entrée d'identification presque identiques comme le montrent les applications bénigne
Introduction In April 2016, while investigating a Smishing campaign dubbed RuMMS that involved the targeting of Android users in Russia, we also noticed three similar Smishing campaigns reportedly spreading in Denmark (February 2016), in Italy (February 2016), and in both Denmark and Italy (April 2016). Unlike the RuMMS campaign, these three campaigns in Europe used view overlay techniques (the same technique we described being used by SlemBunk malware) to present nearly identical credential input UIs as seen in benign apps, subsequently tricking unwary users into providing their banking |
Malware Technical | ★★★★ | |
|
2016-06-23 08:00:00 | Extraction automatique des chaînes obscurcies des logiciels malveillants à l'aide du solveur de chaîne obscurci de FireEye Labs (fil de fil) Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) (lien direct) |
Introduction et motivation
Avez-vous déjà exécuté Strings.exe sur un exécutable malware et sa sortie vous a fourni des adresses IP, des noms de fichiers, des clés de registre et d'autres indicateurs de compromis (IOC)?Super!Pas besoin d'exécuter une analyse plus approfondie ou d'embaucher des experts coûteux pour déterminer si un fichier est malveillant, son utilisation prévue et comment trouver d'autres cas.Malheureusement, les auteurs de logiciels malveillants ont compris et essaient de dissuader votre analyse.Bien que ces auteurs essaient de protéger leurs exécutables, nous vous apprendrons à utiliser le solveur de cordes obscurci de FireEye Labs pour récupérer sensible
Introduction and Motivation Have you ever run strings.exe on a malware executable and its output provided you with IP addresses, file names, registry keys, and other indicators of compromise (IOCs)? Great! No need to run further analysis or hire expensive experts to determine if a file is malicious, its intended usage, and how to find other instances. Unfortunately, malware authors have caught on and are trying to deter your analysis. Although these authors try to protect their executables, we will teach you to use the FireEye Labs Obfuscated Strings Solver (FLOSS) to recover sensitive |
Malware Technical | ★★★★ | |
|
2016-06-02 09:00:00 | Irongate ics malware: rien à voir ici ... masquer l'activité malveillante sur les systèmes SCADA IRONGATE ICS Malware: Nothing to See Here...Masking Malicious Activity on SCADA Systems (lien direct) |
Dans la seconde moitié de 2015, l'équipe Flare a identifié plusieurs versions d'un logiciel malveillant axé sur les CI ICS fabriqué pour manipuler un processus industriel spécifique exécutant dans un environnement de système de contrôle Siemens simulé.Nous avons nommé cette famille de logiciels malveillants irongate.
Flare a trouvé les échantillons sur Virustotal lors de la recherche de gouttes compilés avec Pyinstaller - une approche utilisée par de nombreux acteurs malveillants.Les échantillons irongés se sont démarqués en fonction de leurs références à SCADA et aux fonctionnalités associées.Deux échantillons de la charge utile de logiciels malveillants ont été téléchargés par différentes sources en 2014, mais aucun des antivirus
In the latter half of 2015, the FLARE team identified several versions of an ICS-focused malware crafted to manipulate a specific industrial process running within a simulated Siemens control system environment. We named this family of malware IRONGATE. FLARE found the samples on VirusTotal while researching droppers compiled with PyInstaller - an approach used by numerous malicious actors. The IRONGATE samples stood out based on their references to SCADA and associated functionality. Two samples of the malware payload were uploaded by different sources in 2014, but none of the antivirus |
Malware Industrial | ★★★★ | |
|
2016-05-22 08:01:01 | Attaques ciblées contre les banques au Moyen-Orient Targeted Attacks against Banks in the Middle East (lien direct) |
Mise à jour (8 décembre 2017): Nous attribuons maintenant cette campagne à APT34, un groupe de menace de cyber-espionnage iranien présumé qui, selon nous, est actif depuis au moins 2014. En savoir plus sur apt34 et leur ciblage fin 2017 d'une organisation gouvernementaleau Moyen-Orient.
Introduction
Au cours de la première semaine de mai 2016, DTI de FireEye \\ a identifié une vague de courriels contenant des pièces jointes malveillantes envoyées à plusieurs banques de la région du Moyen-Orient.Les acteurs de la menace semblent effectuer une reconnaissance initiale contre des cibles potentielles, et les attaques ont attiré notre attention car ils utilisaient
UPDATE (Dec. 8, 2017): We now attribute this campaign to APT34, a suspected Iranian cyber espionage threat group that we believe has been active since at least 2014. Learn more about APT34 and their late 2017 targeting of a government organization in the Middle East. Introduction In the first week of May 2016, FireEye\'s DTI identified a wave of emails containing malicious attachments being sent to multiple banks in the Middle East region. The threat actors appear to be performing initial reconnaissance against would-be targets, and the attacks caught our attention since they were using |
Threat | APT 34 | ★★★ |
|
2016-05-20 13:59:00 | Comment les logiciels malveillants RTF échappe à la détection basée sur la signature statique How RTF malware evades static signature-based detection (lien direct) |
Histoire
Rich Text Format (RTF) est un format de document développé par Microsoft qui a été largement utilisé sur diverses plates-formes depuis plus de 29 ans.Le format RTF est très flexible et donc compliqué.Cela rend le développement d'un analyseur RTF sûr difficile.Certaines vulnérabilités notoires telles que cve-2010-3333 et CVE-2014-1761 ont été causés par des erreurs dansImplémentation de la logique de l'analyse RTF.
En fait, les logiciels malveillants RTF ne se limitent pas à l'exploitation des vulnérabilités d'analyse RTF.Les fichiers RTF malveillants peuventInclure d'autres vulnérabilités sans rapport avec l'analyseur RTF car RTF prend en charge l'incorporation de
History Rich Text Format (RTF) is a document format developed by Microsoft that has been widely used on various platforms for more than 29 years. The RTF format is very flexible and therefore complicated. This makes the development of a safe RTF parsers challenging. Some notorious vulnerabilities such as CVE-2010-3333 and CVE-2014-1761 were caused by errors in implementing RTF parsing logic. In fact, RTF malware is not limited to exploiting RTF parsing vulnerabilities. Malicious RTF files can include other vulnerabilities unrelated to the RTF parser because RTF supports the embedding of |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-11 14:00:00 | MENONAGE L'acteur tire parti de Windows Zero-Day Exploit dans les attaques de données de la carte de paiement Threat Actor Leverages Windows Zero-day Exploit in Payment Card Data Attacks (lien direct) |
En mars 2016, un acteur de menace à motivation financière a lancé plusieurs campagnes de phishing de lance sur mesure ciblant principalement les industries de la vente au détail, du restaurant et de l'hôtellerie.Les e-mails contenaient des variations de Microsoft Word Documents avec | Threat Technical | ★★★★ | |
|
2016-05-05 09:00:00 | Exploiter CVE-2016-2060 sur les appareils Qualcomm Exploiting CVE-2016-2060 on Qualcomm Devices (lien direct) |
L'équipe rouge de Mandiant \\ a récemment découvert une vulnérabilité répandue affectant les appareils Android qui permet une escalade locale de privilège à la «radio» de l'utilisateur intégré, ce qui en fait un attaquant peut potentiellement effectuer des activités telles que la visualisation de la victime \\ 'S Base de données SMS et Historique du téléphone.La vulnérabilité existe dans un progiciel maintenu par Qualcomm qui est disponible auprès du Code Aurora Forum.Il est publié sous le nom de CVE-2016-2060 et SECURITY Advisory QCIR-2016-00001-1 sur le Forum Code Aurora.Nous avons fourni des détails généraux dans une FAQ, et une analyse technique de la vulnérabilité suit.
Mandiant\'s Red Team recently discovered a widespread vulnerability affecting Android devices that permits local privilege escalation to the built-in user “radio”, making it so an attacker can potentially perform activities such as viewing the victim\'s SMS database and phone history. The vulnerability exists in a software package maintained by Qualcomm that is available from the Code Aurora Forum. It is published as CVE-2016-2060 and security advisory QCIR-2016-00001-1 on the Code Aurora Forum. We have provided general details in an FAQ, and a technical analysis of the vulnerability follows. |
Vulnerability | ★★★ | |
|
2016-05-03 07:30:00 | Python bytecode déobfuscting Deobfuscating Python Bytecode (lien direct) |
Introduction
Au cours d'une enquête, l'équipe Flare est tombée sur un échantillon de logiciel malveillant Python intéressant (MD5: 61A9F80612D3F7566DB5BDF37BBF22CF ) qui est emballé à l'aide de py2exe .PY2EXE est un moyen populaire de compiler et de packer les scripts Python en exécutables.Lorsque nous rencontrons ce type de logiciels malveillants, nous décomplimons et lisons généralement le code source Python.Cependant, ce malware était différent, il a fait manipuler ses bytecode pour l'empêcher d'être décompilé facilement!
Dans ce blog, nous analyserons les logiciels malveillants et montrerons comment nous avons supprimé l'obscurcissement, ce qui nous a permis de produire un décompilé propre
Introduction During an investigation, the FLARE team came across an interesting Python malware sample (MD5: 61a9f80612d3f7566db5bdf37bbf22cf ) that is packaged using py2exe. Py2exe is a popular way to compile and package Python scripts into executables. When we encounter this type of malware we typically just decompile and read the Python source code. However, this malware was different, it had its bytecode manipulated to prevent it from being decompiled easily! In this blog we\'ll analyze the malware and show how we removed the obfuscation, which allowed us to produce a clean decompile |
Malware Technical | ★★★★ | |
|
2016-03-23 07:00:00 | Authentification à deux facteurs meilleures pratiques: 99 problèmes mais à deux facteurs Two-factor Authentication Best Practices: 99 Problems but Two-Factor Ain\\'t One (lien direct) |
L'authentification à deux facteurs est une meilleure pratique pour obtenir un accès à distance, mais c'est aussi un Saint Graal pour une équipe rouge motivée.Se cacher sous le couvert d'un utilisateur légitime authentifié par plusieurs informations d'identification est l'un des meilleurs moyens de rester non détectés dans un environnement.De nombreuses entreprises considèrent leurs solutions à deux facteurs comme infaillibles et ne prennent pas de précautions pour protéger contre les attaquants \\ 'tentatives de les contourner ou de les déambuler.
Les techniques couvertes dans ce blog vont des méthodes simples à avancées de gestion de l'authentification à deux facteurs du point de vue d'une équipe rouge et de fournir
Two-factor authentication is a best practice for securing remote access, but it is also a Holy Grail for a motivated red team. Hiding under the guise of a legitimate user authenticated through multiple credentials is one of the best ways to remain undetected in an environment. Many companies regard their two-factor solutions as infallible and do not take precautions to protect against attackers\' attempts to bypass or backdoor them. The techniques covered in this blog range from simple to advanced methods of handling two-factor authentication from the perspective of a red team, and provide |
Technical | ★★★ | |
|
2016-02-11 12:53:00 | Plus grande visibilité grâce à la journalisation de PowerShell Greater Visibility Through PowerShell Logging (lien direct) |
Mise à jour (29 février): Ce message a été mis à jour avec de nouvelles recommandations de configuration en raison de la rediffusion du 24 février PowerShell 5, et comprend désormais un lien vers un script d'analyse que les utilisateurs peuvent trouver précieux.
Introduction
Mandiant enquête continuellement sur les attaques qui exploitent PowerShell à toutes les phases de l'attaque.Un problème courant que nous rencontrons est le manque de journalisation disponible qui montre adéquatement quelles actions l'attaquant a effectué à l'aide de PowerShell.Dans ces enquêtes, Mandiant propose régulièrement des conseils sur l'augmentation de l'exploitation de PowerShell pour fournir aux enquêteurs une détection
UPDATE (Feb. 29): This post has been updated with new configuration recommendations due to the Feb. 24 rerelease of PowerShell 5, and now includes a link to a parsing script that users may find valuable. Introduction Mandiant is continuously investigating attacks that leverage PowerShell throughout all phases of the attack. A common issue we experience is a lack of available logging that adequately shows what actions the attacker performed using PowerShell. In those investigations, Mandiant routinely offers guidance on increasing PowerShell logging to provide investigators a detection |
Technical | ★★★★ | |
|
2016-02-09 13:01:01 | Flare Script Series: Flare-DBG Plug-ins (lien direct) | Introduction
Ce post continue la série de script Advanced Reverse Engineering (Flare) Labs FireEye Labs.Dans cet article, nous continuons à discuter du projet Flare-DBG.Si vous ne lisez pas mon Première publication sur l'utilisation de Flare-DBG pour automatiser le décodage des chaînes, Assurez-vous de le vérifier!
Nous avons créé le projet Flare-DBG Python pour soutenir la création de plug-ins pour WindBG.Lorsque nous exploitons la puissance du WINDBG pendant l'analyse des logiciels malveillants, nous avons un aperçu du comportement d'exécution des exécutables.Flare-DBG rend ce processus particulièrement facile.Ce billet de blog traite des plug-ins Windbg qui ont été inspirés par les fonctionnalités
Introduction This post continues the FireEye Labs Advanced Reverse Engineering (FLARE) script series. In this post, we continue to discuss the flare-dbg project. If you haven\'t read my first post on using flare-dbg to automate string decoding, be sure to check it out! We created the flare-dbg Python project to support the creation of plug-ins for WinDbg. When we harness the power of WinDbg during malware analysis, we gain insight into runtime behavior of executables. flare-dbg makes this process particularly easy. This blog post discusses WinDbg plug-ins that were inspired by features |
Malware | ★★★ | |
|
2016-01-07 13:56:00 | Sandworm Team et Ukrainian Power Authority Attacks Sandworm Team and the Ukrainian Power Authority Attacks (lien direct) |
MISE À JOUR 1.11.16 - L'équipe SANS ICS connecte Dots
Mise à jour de l'entrée du blog pour attirer l'attention sur la récente analyse publiée par Mike Assante de l'équipe SANS ICS.
"Après avoir analysé les informations qui ont été mises à disposition par les sociétés d'électricité concernées, les chercheurs et les médias, il est clair que les cyberattaques étaient directement responsables des pannes de courant en Ukraine. L'équipe SANS ICS a coordonné les discussions en cours et fourni des analysesÀ travers plusieurs membres et entreprises de la communauté internationale. Nous évaluons avec une grande confiance en fonction des déclarations de l'entreprise, les médias
Update 1.11.16 - SANS ICS Team Connects Dots
Updating the blog entry to bring attention to the recent analysis published by Mike Assante from the SANS ICS team.
"After analyzing the information that has been made available by affected power companies, researchers, and the media it is clear that cyber attacks were directly responsible for power outages in Ukraine. The SANS ICS team has been coordinating ongoing discussions and providing analysis across multiple international community members and companies. We assess with high confidence based on company statements, media |
Technical | ★★★★ | |
|
2015-12-16 13:01:01 | L'EPS se réveille The EPS Awakens (lien direct) |
Le 8 septembre, Fireeye Détails publiés sur une attaque exploitant zéro jourVulnérabilités à Microsoft Office ( CVE-2015-2545 ) et Windows (Windows ( CVE-2015-2546 ).L'attaque a été particulièrement notable car elle a exploité le post-scriptum pour conduire la corruption de la mémoire d'une manière qui n'avait jamais été vue auparavant.L'exploit a utilisé des stratégies similaires à celles des exploits de navigateur dans des langages communs tels que JavaScript et Flash, mais PostScript a servi de vecteur d'attaque négligé qui est puissant et pratique en fonction.
Après la publication du patch pour CVE-2015-2545, Fireeye a informé Microsoft d'un moyen de contourner
On September 8, FireEye published details about an attack exploiting zero day vulnerabilities in Microsoft Office (CVE-2015-2545) and Windows (CVE-2015-2546). The attack was particularly notable because it leveraged PostScript to drive memory corruption in a way that had never been seen before. The exploit used similar strategies as browser exploits in common languages such as JavaScript and Flash, but PostScript served as an overlooked attack vector that is powerful and convenient in Office. Following the release of the patch for CVE-2015-2545, FireEye notified Microsoft of a way to bypass |
Vulnerability | ★★★ | |
|
2015-12-01 13:00:00 | Le groupe de cyber-menaces basé en Chine utilise Dropbox pour les communications de logiciels malveillants et cible les médias de Hong Kong China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets (lien direct) |
Fireeye Intelligence Centerfireeye Threat Intelligence Analysts a identifié une campagne de phishing de lance réalisée en août 2015 en ciblant les organisations de médias basées à Hong Kong.Un groupe de cyber-menaces basé en Chine, que Fireeye suit en tant que groupe de menaces persistantes avancé (APT) non classé et d'autres chercheurs appellent «admin @ 338», peut avoir mené l'activité. [1] Les e-mails contenaient des documents malveillants avec une charge utile malveillante appelée lowball.Lowball abuse du service de stockage cloud Dropbox pour la commande et le contrôle (CNC).Nous avons collaboré avec Dropbox pour enquêter sur la menace, et
FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized advanced persistent threat (APT) group and other researchers refer to as “admin@338,” may have conducted the activity.[1] The email messages contained malicious documents with a malware payload called LOWBALL. LOWBALL abuses the Dropbox cloud storage service for command and control (CnC). We collaborated with Dropbox to investigate the threat, and |
Malware Threat Cloud Technical | ★★★★ | |
|
2015-11-16 15:00:00 | Flare Ida Pro Script Series: Automating Function Argument Extraction (lien direct) | intro
Ce billet de blog est le prochain épisode de la série de scripts Flare Team Ida Pro.Tous les scripts et plug-ins sont disponibles à partir de notre Github Repo .
automatiser le répétitif
Je suis un grand partisan de l'automatisation des tâches répétitives pour améliorer et simplifier l'ingénierie inverse.La tâche décrite dans cet article de blog apparaît fréquemment dans l'analyse des logiciels malveillants: identifier tous les arguments donnés à une fonction au sein d'un programme.Cette situation peut survenir lorsque vous essayez:
Identifier la taille, l'emplacement et la clé possible utilisée pour décrypter les chaînes codées utilisées par le malware.
Identifier chaque pointeur de fonction
Intro This blog post is the next episode in the FLARE team IDA Pro Script series. All scripts and plug-ins are available from our GitHub repo. Automating the Repetitive I am a big believer in automating repetitive tasks to improve and simplify reverse engineering. The task described in this blog post comes up frequently in malware analysis: identifying all of the arguments given to a function within a program. This situation may come up when trying to: Identify the size, location, and possible key used to decrypt encoded strings used by the malware. Identify each function pointer |
Malware | ★★★★ | |
|
2015-09-15 02:00:00 | Synful Knock - Un implant de routeur Cisco - Partie I SYNful Knock - A Cisco router implant - Part I (lien direct) |
Présentation
Les implants de routeur , de tout fournisseur de l'espace d'entreprise, ont été largement considérés comme de nature théorique et surtout en usage.Cependant, les récents avis des fournisseurs indiquent que ceux-ci ont été observés dans la nature. mandiant peut confirmer l'existence d'au moins 14 implants de routeurs de ce type répartis dans quatre pays différents: l'Ukraine, les Philippines, le Mexique et l'Inde.
Synful Knock est une modification furtive de l'image du firmware du routeur \\ qui peut être utilisée pour maintenir la persistance au sein d'un réseau de victime.Il est de nature personnalisable et modulaire et peut donc être mis à jour une fois
Overview Router implants, from any vendor in the enterprise space, have been largely believed to be theoretical in nature and especially in use. However, recent vendor advisories indicate that these have been seen in the wild. Mandiant can confirm the existence of at least 14 such router implants spread across four different countries: Ukraine, Philippines, Mexico, and India. SYNful Knock is a stealthy modification of the router\'s firmware image that can be used to maintain persistence within a victim\'s network. It is customizable and modular in nature and thus can be updated once |
Technical | ★★★★ | |
|
2015-08-11 14:35:00 | Mouvement latéral malware: une amorce Malware Lateral Movement: A Primer (lien direct) |
Pour tous les discours sur les logiciels malveillants, de nombreuses discussions se concentrent sur l'infection initiale.Récemment, la propagation latérale des logiciels malveillants appelée Mouvement est-ouest, a suscité un intérêt plus important.Voici quelques bases de chaque professionnel de la sécurité.
Alors, comment vos opérations informatiques quotidiennes sont-elles liées à la propagation latérale?
Au cours de nos engagements de réponse aux incidents menés dans le monde entier, nous identifions de nombreuses tendances liées à la façon dont les acteurs malveillants, maintiennent la persistance et nous déplaçons latéralement au sein d'une organisation compromise.Après le compromis initial de l'hôte, les acteurs malveillants
For all the talk about malware, a lot of discussion focuses on initial infection. Recently, the lateral spread of malware-so called east-west movement-has garnered more increasing interest. Here\'s some basics every security professional should know. So, how is your day-to-day IT operations related to lateral spread? During our incident response engagements conducted all over the world, we identify numerous trends related to how malicious actors, maintain persistence and move laterally within a compromised organization. After the initial host compromise, the malicious actors will |
Malware | ★★★★ | |
|
2015-07-13 08:31:00 | Démontrant Hustle, les groupes de l'APT chinois utilisent rapidement une vulnérabilité zéro-jour (CVE-2015-5119) après une fuite d'équipe de piratage Demonstrating Hustle, Chinese APT Groups Quickly Use Zero-Day Vulnerability (CVE-2015-5119) Following Hacking Team Leak (lien direct) |
Le Fireeye en tant qu'équipe de service a détecté des campagnes de phishing indépendantes menées par deux groupes de menace persistante avancés chinois (APT) que nous suivons, APT3 et APT18.Chaque groupe de menaces a rapidement profité d'une vulnérabilité zéro-jour (CVE-2015-5119), qui a été divulguée dans la divulgation des données internes de l'équipe de piratage.Adobe a publié un patch pour la vulnérabilité le 8 juillet 2015. Avant ce patcha été publié, les groupes ont lancé des campagnes de phishing contre plusieurs sociétés de l'aérospatiale et de la défense, de la construction et de l'ingénierie, de l'éducation, de l'énergie
The FireEye as a Service team detected independent phishing campaigns conducted by two Chinese advanced persistent threat (APT) groups that we track, APT3 and APT18. Each threat group quickly took advantage of a zero-day vulnerability (CVE-2015-5119), which was leaked in the disclosure of Hacking Team\'s internal data. Adobe released a patch for the vulnerability on July 8, 2015. Before that patch was released, the groups launched phishing campaigns against multiple companies in the aerospace and defense, construction and engineering, education, energy |
Vulnerability Threat | APT 18 APT 3 | ★★★★ |
|
2015-06-23 11:21:00 | Opération Clandestine Wolf & # 8211;Adobe Flash Zero-Day dans APT3 PHISHISHing Campagne Operation Clandestine Wolf – Adobe Flash Zero-Day in APT3 Phishing Campaign (lien direct) |
En juin, Fireeye \'s Fireeye en tant que service Campagne de phishing exploitant une vulnérabilité Adobe Flash Player Zero-Day (CVE-2015-3113).Les e-mails des attaquants comprenaient des liens vers des serveurs Web compromis qui ont servi de contenu bénin ou d'un fichier de lecteur flash malveillant malveillant qui exploite CVE-2015-3113.
Adobe a déjà publié un correctif pour CVE-2015-3113 avec un bulletin de sécurité hors bande ( https://helpx.adobe.com/security/products/flash-player/apsb15-14.html ).FireEye recommande aux utilisateurs d'Adobe Flash Player à mettre à jour la dernière version dès que possible.
Fire
In June, FireEye\'s FireEye as a Service team in Singapore uncovered a phishing campaign exploiting an Adobe Flash Player zero-day vulnerability (CVE-2015-3113). The attackers\' emails included links to compromised web servers that served either benign content or a malicious Adobe Flash Player file that exploits CVE-2015-3113. Adobe has already released a patch for CVE-2015-3113 with an out-of-band security bulletin (https://helpx.adobe.com/security/products/flash-player/apsb15-14.html). FireEye recommends that Adobe Flash Player users update to the latest version as soon as possible. Fire |
Vulnerability | APT 3 APT 3 | ★★★★ |
|
2015-06-17 13:29:00 | CACHING OUT: La valeur de Shimcache pour les enquêteurs Caching Out: The Value of Shimcache for Investigators (lien direct) |
Au cours d'une enquête récente, nous avons trouvé des références aux horodatages associés à des fichiers malveillants probables qui ont précédé la première date de compromis connue.Ces horodatages de compatibilité d'application («Shimcache») étaient les seules preuves liées à ce délai.
Le Windows Shimcache a été créé par Microsoft à partir de Windows XP pour suivre les problèmes de compatibilité avec les programmes exécutés.Le cache stocke diverses métadonnées de fichier en fonction du système d'exploitation, telles que:
Fichier le chemin complet
Taille du fichier
$ standard_information (SI) Dernière heure modifiée
SHIMCACHE DERNIÈRE TEMPS MISE À JOUR
Proces
During a recent investigation, we found references to timestamps associated with probable malicious files that preceded the earliest known date of compromise. These Application Compatibility Cache (“Shimcache”) timestamps were the only evidence linked to this timeframe. The Windows Shimcache was created by Microsoft beginning in Windows XP to track compatibility issues with executed programs. The cache stores various file metadata depending on the operating system, such as: File Full Path File Size $Standard_Information (SI) Last Modified time Shimcache Last Updated time Proces |
★★★★ | ||
|
2015-05-14 08:01:01 | Se cacher à la vue: Fireeye et Microsoft exposent la tactique d'obscuscation de Group Chinese Group \\ Hiding in Plain Sight: FireEye and Microsoft Expose Chinese APT Group\\'s Obfuscation Tactic (lien direct) |
Fin 2014, FireEye Threat Intelligence et le Microsoft Threat Intelligence Center ont découvert une tactique d'obscuscation de commandement et de contrôle (CNC) sur le portail Web de TechNet de Microsoft \\ - une précieuse ressource Web pour les professionnels de l'informatique.
Le groupe de menaces a profité de la possibilité de créer des profils et de publier dans des forums pour intégrer CNC codé pour une utilisation avec une variante du malware BlackCoffee.Cette technique peut rendre difficile pour les professionnels de la sécurité du réseau de déterminer la véritable emplacement du CNC et de permettre à l'infrastructure CNC de rester active pendant une période plus longue.Technet \'s Security
In late 2014, FireEye Threat Intelligence and the Microsoft Threat Intelligence Center discovered a Command-and-Control (CnC) obfuscation tactic on Microsoft\'s TechNet web portal-a valuable web resource for IT professionals. The threat group took advantage of the ability to create profiles and post in forums to embed encoded CnC for use with a variant of the malware BLACKCOFFEE. This technique can make it difficult for network security professionals to determine the true location of the CnC, and allow the CnC infrastructure to remain active for a longer period of time. TechNet\'s security |
Malware Threat | ★★★★ | |
|
2015-04-18 11:10:00 | Opération Russiandoll: Adobe & Windows Exploits zéro-day Probablement exploités par APT28 de Russie dans une attaque très ciblée Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia\\'s APT28 in Highly-Targeted Attack (lien direct) |
Fireeye Labs a récemment détecté une campagne APT limitée exploitant les vulnérabilités zéro-jours dans Adobe Flash et une toute nouvelle à Microsoft Windows.En utilisant le Dynamic Keen Intelligence Cloud (DTI) , les chercheurs de Fireeye ont détecté un modèle d'attaques commençant le 13 avril Th , 2015. Adobe a indépendamment corrigé la vulnérabilité (CVE-2015-3043) dans APSB15-06 .Grâce à la corrélation des indicateurs techniques et des infrastructures de commandement et de contrôle, FireEye évalue que l'APT28 est probablement responsable de cette activité.
Microsoft est conscient de la vulnérabilité d'escalade locale exceptionnelle dans Windows
FireEye Labs recently detected a limited APT campaign exploiting zero-day vulnerabilities in Adobe Flash and a brand-new one in Microsoft Windows. Using the Dynamic Threat Intelligence Cloud (DTI), FireEye researchers detected a pattern of attacks beginning on April 13th, 2015. Adobe independently patched the vulnerability (CVE-2015-3043) in APSB15-06. Through correlation of technical indicators and command and control infrastructure, FireEye assess that APT28 is probably responsible for this activity. Microsoft is aware of the outstanding local privilege escalation vulnerability in Windows |
Vulnerability Threat Cloud | APT 28 APT 28 | ★★★★ |
|
2015-04-17 09:00:00 | Flare Ida Pro Script Series: Application des prototypes de fonction aux appels indirects FLARE IDA Pro Script Series: Applying Function Prototypes to Indirect Calls (lien direct) |
intro
L'équipe Advanced Insinerering (Flare) de FireEye Labs Travelding Fireeye Labs souhaite présenter le prochain épisode de notre série de blogs IDA Pro Script afin de partager les connaissances et les outils avec la communauté.Tous les scripts et plug-ins sont disponibles à partir de notre référentiel github .
lorsque les choses fonctionnent correctement
L'analyse de pile Ida \\ et la propagation des informations de type est extrêmement utile lorsque les logiciels malveillants de l'ingénierie inverse.Hex Rays fournit plusieurs fichiers .til avec IDA qui contiennent le type de données et les déclarations de fonction pour une gamme de compilateurs et d'API.Ils fournissent également un outil supplémentaire nommé tilib
Intro The FireEye Labs Advanced Reverse Engineering (FLARE) Team would like to introduce the next installment of our IDA Pro Script series of blog posts in order to share knowledge and tools with the community. All scripts and plug-ins are available from our GitHub repository. When Things Work Right IDA\'s stack analysis and propagation of type information is extremely useful when reverse engineering malware. Hex-Rays provides several .til files with IDA that contain data type and function declarations for a range of compilers and APIs. They also provide an additional tool named tilib |
Tool | ★★★ | |
|
2015-04-01 15:17:27 | Microsoft Word Intruder (MWI): un nouveau kit d'exploitation de documents Word Microsoft Word Intruder (MWI): A New Word Document Exploit Kit (lien direct) |
Les outils utilisés pour créer des documents malveillants qui exploitent les vulnérabilités dans Microsoft Word sont désormais annoncés dans des forums underground et un nouvel outil a émergé qui offre la possibilité de suivre l'efficacité des campagnes.Le constructeur, Microsoft Word Intruder (MWI), est annoncé comme un outil «APT» à utiliser dans les attaques ciblées.Il s'accompagne d'un ensemble de statistiques appelé «Mwistat» qui permet aux opérateurs de suivre diverses campagnes.
Selon l'auteur, l'utilisation de MWI en collaboration avec le spam est interdite, et ceux qui ignorent ce risque pour que leur permis soit révoquée.Dans
The tools used to create malicious documents that exploit vulnerabilities in Microsoft Word are now being advertised in underground forums and one new tool has emerged that provides the ability to track the effectiveness of campaigns. The builder, Microsoft Word Intruder (MWI), is advertised as an “APT” tool to be used in targeted attacks. It is accompanied by a statistics package known as “MWISTAT” that allows operators to track various campaigns. According to the author, the use of MWI in conjunction with spam is forbidden, and those who ignore this risk having their license revoked. In |
Spam Tool Vulnerability Technical | ★★★★ | |
|
2015-01-08 20:39:00 | Flare Ida Pro Script Series: Génération de modèles de fonction Flair Using Idapython FLARE IDA Pro Script Series: Generating FLAIR function patterns using IDAPython (lien direct) |
L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Ceci est le troisième script Ida Pro que nous avons publié via ce blog et nous continuerons à publier ces scripts ici .
Résumé
Ce blog décrit un script idapython pour aider à l'ingénierie inverse de logiciels malveillants.Les signatures de flirt aident Ida Pro reconnaître les fonctions communes dans les programmes compilés et les renommer automatiquement pour l'ingénieur inverse.Le script idapython idb2pat.py génère des modèles IDA Pro Flair à partir des fichiers IDB existants.Vous pouvez l'utiliser pour générer des signatures de flirt pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. This is the third IDA Pro script we\'ve released via this blog and we\'ll continue to release these scripts here. Summary This blog describes an IDAPython script to assist with malware reverse engineering. FLIRT signatures help IDA Pro recognize common functions in compiled programs and automatically rename them for the reverse engineer. The IDAPython script idb2pat.py generates IDA Pro FLAIR patterns from existing IDB files. You can use it to generate FLIRT signatures for |
Malware Tool Technical | ★★★★ | |
|
2014-11-21 19:36:00 | Opération Double Tap Operation Double Tap (lien direct) |
apt3 (également connu sous le nom d'UPS), les acteurs responsables de Operation Clandestine Fox a tranquillement continué à envoyer des vagues de messages de spearphish au cours des derniersmois.Cet acteur a lancé sa dernière campagne le 19 novembre 2014 ciblant plusieurs organisations.L'attaquant a exploité plusieurs exploits, ciblant les deux CVE-2014-6332 et CVE-2014-4113 .Le CVE-2014-6332 a été divulgué publiquement le 2014-2011-11 et est une vulnérabilité d'exécution de code à distance de tableau d'automatisation Windows Ole.CVE-2014-4113 est une vulnérabilité d'escalade privilégiée qui était divulgué publiquement le 2014-10-14 .
l'utilisation de cve
APT3 (also known as UPS), the actors responsible for Operation Clandestine Fox has quietly continued to send waves of spearphishing messages over the past few months. This actor initiated their most recent campaign on November 19, 2014 targeting multiple organizations. The attacker leveraged multiple exploits, targeting both CVE-2014-6332 and CVE-2014-4113. CVE-2014-6332 was disclosed publicly on 2014-11-11 and is a Windows OLE Automation Array Remote Code Execution vulnerability. CVE-2014-4113 is a privilege escalation vulnerability that was disclosed publicly on 2014-10-14. The use of CVE |
Vulnerability Technical | APT 3 APT 3 | ★★★★ |
|
2014-11-17 12:14:00 | The Flare on Challenge Solutions: Partie 1 de 2 The FLARE On Challenge Solutions: Part 1 of 2 (lien direct) |
En juillet, l'équipe Advanced Reverse Engineering (Flare) de Fireeye Labs a créé et publié le premier Flare on Challenge à la communauté.Au total, 7 140 personnes ont participé et ont montré leurs compétences, et 226 personnes ont relevé le défi.Tous ceux qui ont terminé le défi ont reçu un défi pour commémorer leur succès.
La pièce de défi convoitée
Nous publions les solutions de défi pour aider ceux qui n'ont pas fini d'améliorer leurs compétences.Il existe de nombreuses façons différentes de relever chaque défi, nous avons donc attendu de voir quelles solutions que les gens ont conçues.Nous avons trouvé les suivants
In July, the FireEye Labs Advanced Reverse Engineering (FLARE) team created and released the first FLARE On Challenge to the community. A total of 7,140 people participated and showed off their skills, and 226 people completed the challenge. Everyone who finished the challenge received a challenge coin to commemorate their success. 
The coveted challenge coin
We are releasing the challenge solutions to help those who didn\'t finish improve their skills. There are many different ways to complete each challenge, so we waited to see what solutions people devised. We found the following |
★★★★ | ||
|
2014-10-27 03:00:42 | Malware APT28: une fenêtre sur les opérations de cyber-espionnage de la Russie? APT28 Malware: A Window into Russia\\'s Cyber Espionage Operations? (lien direct) |
Le rôle des acteurs de l'État-nation dans les cyberattaques a peut-être été le plus largement révélé en février 2013 lorsque mandiant href = "https://www.mandiant.com/resources/mandiant-expose-apt1-chinas-cyber-espionage-units" cible = "_ Blank"> Rapport APT1, en Chine.Aujourd'hui, nous publions un nouveau rapport: apt28:Une fenêtre sur les opérations de cyber-espionnage de la Russie?
Ce rapport se concentre sur un groupe de menaces que nous avons désigné comme APT28.Alors que les logiciels malveillants d'APT28 \\ sont assez connus dans la communauté de la cybersécurité, notre rapport détaille des informations supplémentaires exposant des opérations en cours et ciblées qui, selon nous, indiquent un sponsor gouvernemental basé à Moscou.
dans
The role of nation-state actors in cyber attacks was perhaps most widely revealed in February 2013 when Mandiant released the APT1 report, which detailed a professional cyber espionage group based in China. Today we release a new report: APT28: A Window Into Russia\'s Cyber Espionage Operations? This report focuses on a threat group that we have designated as APT28. While APT28\'s malware is fairly well known in the cybersecurity community, our report details additional information exposing ongoing, focused operations that we believe indicate a government sponsor based in Moscow. In |
Malware Threat | APT 28 APT 28 APT 1 | ★★★★ |
|
2014-09-11 09:00:00 | Flare Ida Pro Script Series: MSDN Annotations Plugin for Malware Analysis (lien direct) | L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Nous avons commencé cette série de blogs avec un script pour Récupération automatique des chaînes construites dans les logiciels malveillants .Comme toujours, vous pouvez Téléchargez ces scripts sur notre page github .Nous espérons que vous trouverez tous ces scripts aussi utiles que nous.
motivation
Au cours de mon stage d'été avec l'équipe Flare, mon objectif était de développer des plug-ins idapython qui accélèrent le flux de travail ingénieur en inverse dans IDA Pro.Tout en analysant des échantillons de logiciels malveillants avec l'équipe, j'ai réalisé que beaucoup de temps est passé à chercher
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. We started this blog series with a script for Automatic Recovery of Constructed Strings in Malware. As always, you can download these scripts at our Github page. We hope you find all these scripts as useful as we do. Motivation During my summer internship with the FLARE team, my goal was to develop IDAPython plug-ins that speed up the reverse engineering workflow in IDA Pro. While analyzing malware samples with the team, I realized that a lot of time is spent looking up |
Malware Tool | ★★★ | |
|
2014-09-03 18:00:29 | Le groupe APT préféré de Darwin \\ Darwin\\'s Favorite APT Group (lien direct) |
Introduction
Les attaquants appelés APT12 (également connu sous le nom d'Ixeshe, Dyncalc et DNSCALC) ont récemment lancé une nouvelle campagne ciblant les organisations au Japon et à Taïwan.L'APT12 serait un groupe de cyber-espionnage qui aurait des liens avec l'armée de libération du peuple chinois.Les objectifs d'APT12 \\ sont conformes aux objectifs de la République de Chine (PRC) de la République de Chine (PRC).Les intrusions et les campagnes menées par ce groupe sont en ligne avec les objectifs de la RPC et l'intérêt personnel à Taïwan.De plus, les nouvelles campagnes que nous avons révélées mettent davantage met en évidence la corrélation entre les groupes APT qui cessent et réoulèvent
Introduction The attackers referred to as APT12 (also known as IXESHE, DynCalc, and DNSCALC) recently started a new campaign targeting organizations in Japan and Taiwan. APT12 is believed to be a cyber espionage group thought to have links to the Chinese People\'s Liberation Army. APT12\'s targets are consistent with larger People\'s Republic of China (PRC) goals. Intrusions and campaigns conducted by this group are in-line with PRC goals and self-interest in Taiwan. Additionally, the new campaigns we uncovered further highlight the correlation between APT groups ceasing and retooling |
Technical | APT 12 | ★★★★ |
|
2014-08-01 09:00:00 | Flare Ida Pro Script Series: Récupération automatique des chaînes construites dans les logiciels malveillants FLARE IDA Pro Script Series: Automatic Recovery of Constructed Strings in Malware (lien direct) |
L'équipe Advanced Insinerering (Flare) de FireEye Labs (Flare) se consacre au partage des connaissances et des outils avec la communauté.Nous avons commencé avec la sortie du Flare on Challenge Début juillet où des milliers d'ingénieurs inversés et des amateurs de sécurité ont participé.Restez à l'écoute pour une rédaction des Solutions Challenge dans un prochain article de blog.
Ce post est le début d'une série où nous cherchons à aider d'autres analystes de logiciels malveillants sur le terrain.Étant donné que IDA PRO est l'outil le plus populaire utilisé par les analystes de logiciels malveillants, nous nous concentrons sur la libération de scripts et de plug-ins pour en faire un outil encore plus efficace pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team is dedicated to sharing knowledge and tools with the community. We started with the release of the FLARE On Challenge in early July where thousands of reverse engineers and security enthusiasts participated. Stay tuned for a write-up of the challenge solutions in an upcoming blog post. This post is the start of a series where we look to aid other malware analysts in the field. Since IDA Pro is the most popular tool used by malware analysts, we\'ll focus on releasing scripts and plug-ins to help make it an even more effective tool for |
Malware Tool | ★★★ | |
|
2014-04-18 14:07:27 | Les attaquants exploitent la vulnérabilité d'OpenSSL Heartbleed pour contourner l'authentification multi-facteurs sur les VPN Attackers Exploit the Heartbleed OpenSSL Vulnerability to Circumvent Multi-factor Authentication on VPNs (lien direct) |
Moins d'une semaine depuis la divulgation publique de la vulnérabilité "Heartbleed", les répondeurs incidents mandiants ont déjà identifié des attaques réussies dans la nature par des acteurs ciblés de menace.La vulnérabilité Heartbleed (CVE-2014-0160), divulguée publiquement le 7 avril par des chercheurs de sécurité Neel Mehta et Codenocon est un bug de buffer sur-lecture dans l'extension de la sécurité de la couche de transport (TLS).Le bogue était présent dans une section de code responsable de la fourniture de notifications de "battement de cœur" entre un client et un serveur.Une preuve de concept de travail de l'exploit est apparue sur Internet la semaine dernière que
Less than a week since the public disclosure of the "Heartbleed" vulnerability, Mandiant incident responders have already identified successful attacks in the wild by targeted threat actors. The Heartbleed vulnerability (CVE-2014-0160), publicly disclosed on April 7th by security researchers Neel Mehta and Codenomicon is a buffer over-read bug in the Transport Layer Security (TLS) extension. The bug was present in a section of code responsible for providing "Heartbeat" notifications between a client and server. A working proof of concept of the exploit appeared on the Internet last week that |
Vulnerability Threat | ★★★★ | |
|
2014-04-03 09:48:00 | DLL à chargement latéral: un autre point mort pour antivirus DLL Side-Loading: Another Blind-Spot for Anti-Virus (lien direct) |
Le mois dernier, j'ai présenté une conférence à la conférence RSA USA sur un vecteur de menace de plus en plus populaire appelé «Dynamic-Link Library-Wadinging» (DLL Side-Wading).Comme pour de nombreuses vulnérabilités, cet exploit existe depuis assez longtemps et est le résultat de Microsoft qui cherche à faciliter les mises à jour binaires pour les développeurs Windows via la fonction d'assemblage Windows côte à côte (WINSXS).
Maintenant, cependant, les développeurs avancés de menace persistante (APT) utilisent la méthode inoffensive de chargement latéral DLL pour faufiler les scanners antivirus (AV) de malware (AV) alors que les fichiers infectés fonctionnent en mémoire.Ce faisant, le
Last month, I presented a talk at the RSA USA Conference on an increasingly popular threat vector called “Dynamic-Link Library Side-Loading” (DLL Side-Loading). As with many vulnerabilities, this exploit has existed for a rather long time and is the result of Microsoft looking to make binary updates easier for Windows developers through the Windows side-by-side (WinSxS) assembly feature. Now, though, advanced persistent threat (APT) developers are using the innocuous DLL Side-Loading method to sneak malware past anti-virus (AV) scanners as the infected files run in-memory. In doing-so, the |
Malware Threat Conference Technical | ★★★★ | |
|
2014-02-19 10:00:00 | Xtrememerat: Nuisance ou menace? XtremeRAT: Nuisance or Threat? (lien direct) |
Plutôt que de construire des logiciels malveillants personnalisés, de nombreux acteurs de menace derrière les attaques ciblés utilisent des chevaux de Troie (rats) publiquement ou disponibles dans le commerce.Ce logiciel malveillant prédéfini a toutes les fonctionnalités nécessaires pour effectuer du cyber-espionnage et est contrôlée directement par les humains, qui ont la capacité de s'adapter aux défenses du réseau.En conséquence, la menace posée par ces rats ne doit pas être sous-estimée.
Cependant, il est difficile de distinguer et de corréler l'activité des acteurs de menace ciblés en fonction de leur préférence pour utiliser des logiciels malveillants particuliers - en particulier des logiciels malveillants librement disponibles.À partir d'un
Rather than building custom malware, many threat actors behind targeted attacks use publicly or commercially available remote access Trojans (RATs). This pre-built malware has all the functionality needed to conduct cyber espionage and is controlled directly by humans, who have the ability to adapt to network defenses. As a result, the threat posed by these RATs should not be underestimated. However, it is difficult to distinguish and correlate the activity of targeted threat actors based solely on their preference to use particular malware - especially, freely available malware. From an |
Malware Threat | ★★★★ | |
|
2014-01-23 15:00:00 | Suivi des logiciels malveillants avec un hachage d'importation Tracking Malware with Import Hashing (lien direct) |
Le suivi des groupes de menaces au fil du temps est un outil important pour aider les défenseurs à rechercher le mal sur les réseaux et à mener une réponse efficace aux incidents.Savoir comment certains groupes opèrent en fait une enquête efficace et aide à identifier facilement l'activité des acteurs de la menace.
Chez Mandiant, nous utilisons plusieurs méthodes pour aider à identifier et corréler l'activité du groupe de menaces.Un élément critique de notre travail consiste à suivre divers éléments opérationnels tels que l'infrastructure d'attaquant et les adresses e-mail.De plus, nous suivons les délais spécifiques que chaque groupe de menaces utilise - l'un des moyens clés pour suivre un
Tracking threat groups over time is an important tool to help defenders hunt for evil on networks and conduct effective incident response. Knowing how certain groups operate makes for an efficient investigation and assists in easily identifying threat actor activity. At Mandiant, we utilize several methods to help identify and correlate threat group activity. A critical piece of our work involves tracking various operational items such as attacker infrastructure and email addresses. In addition, we track the specific backdoors each threat group utilizes - one of the key ways to follow a |
Malware Tool Threat Technical | ★★★★ | |
|
2013-10-01 13:45:52 | OpenIOC: Retour aux bases OpenIOC: Back to the Basics (lien direct) |
Un défi auxquels les enquêteurs sont confrontés lors de la réponse aux incidents est de trouver un moyen d'organiser des informations sur une activité des attaquants, des services publics, des logiciels malveillants et d'autres indicateurs de compromis, appelés IOC.Le format openIoc traite ce défi de front.OpenIOC fournit un format standard et des termes pour décrire les artefacts rencontrés au cours d'une enquête.Dans cet article, nous allons fournir un aperçu de haut niveau des CIO, y compris les cas d'utilisation du CIO, la structure d'une logique IOC et IOC.
Avant de continuer, il est important de mentionner que les CIO ne sont pas des signatures, et ce ne sont pas
One challenge investigators face during incident response is finding a way to organize information about an attackers\' activity, utilities, malware and other indicators of compromise, called IOCs. The OpenIOC format addresses this challenge head-on. OpenIOC provides a standard format and terms for describing the artifacts encountered during the course of an investigation. In this post we\'re going to provide a high-level overview of IOCs, including IOC use cases, the structure of an IOC and IOC logic. Before we continue, it\'s important to mention that IOCs are not signatures, and they aren |
Malware Technical | ★★★★ | |
|
2013-09-24 13:43:22 | Maintenant tu me vois - HORD H BY HOUDINI Now You See Me - H-worm by Houdini (lien direct) |
H-Worm est un rat VBS (Script Visual Basic) écrit par un individu portant le nom Houdini.Nous pensons que l'auteur est basé en Algérie et a des liens avec NJQ8, l'auteur de NJW0RM [1] et NJRAT / LV [2] au moyen d'une base de code partagée ou commune.Nous avons vu le rat H-Worm être employé dans des attaques ciblées contre l'industrie internationale de l'énergie;Cependant, nous le voyons également être utilisé dans un contexte plus large en tant que gamme des attaques de l'usine via des pièces jointes spammées et des liens malveillants.
La charge utile
La charge utile du ver-ver est simplement un fichier VBS, qui est souvent enveloppé, dans un pe
H-worm is a VBS (Visual Basic Script) based RAT written by an individual going by the name Houdini. We believe the author is based in Algeria and has connections to njq8, the author of njw0rm [1] and njRAT/LV [2] through means of a shared or common code base. We have seen the H-worm RAT being employed in targeted attacks against the international energy industry; however, we also see it being employed in a wider context as run of the mill attacks through spammed email attachments and malicious links. The Payload The H-worm payload is simply a VBS file, which is often wrapped, in a PE |
Technical | ★★★★ | |
|
2013-09-06 03:00:00 | Tactiques évasives: Tairoor Evasive Tactics: Taidoor (lien direct) |
Le malware Tairoor a été utilisé dans de nombreuses campagnes de cyber-espionnage en cours.Ses victimes comprennent les agences gouvernementales, les entités d'entreprise et les groupes de réflexion, en particulier ceux qui ont des intérêts à Taïwan.[1] Dans une attaque typique, les cibles reçoivent un spear-phishing e-mail qui les encourage à ouvrir un fichier joint.Si elle est ouverte sur un système vulnérable, les logiciels malveillants sont installés silencieusement sur l'ordinateur de la cible \\ tandis qu'un document de leurre avec du contenu légitime est ouvert qui est destiné à atténuer les soupçons dont la cible peut avoir.Tairoor a réussi à compromettre les cibles depuis 2008 et se poursuit
The Taidoor malware has been used in many ongoing cyber espionage campaigns. Its victims include government agencies, corporate entities, and think tanks, especially those with interests in Taiwan. [1] In a typical attack, targets receive a spear-phishing email which encourages them to open an attached file. If opened on a vulnerable system, malware is silently installed on the target\'s computer while a decoy document with legitimate content is opened that is intended to alleviate any suspicions the target may have. Taidoor has been successfully compromising targets since 2008, and continues |
Malware Technical | ★★★★ | |
|
2013-08-27 17:26:05 | A-t-il exécuté? Did It Execute? (lien direct) |
Vous avez trouvé un exécutable malveillant!Maintenant, vous avez une question cruciale à répondre: le fichier a-t-il exécuté?Nous discuterons de quelques sources de preuves que vous pouvez utiliser pour répondre à cette question.Dans cet article, nous nous concentrerons sur la criminalistique statique ou "Driv Drive" sur les systèmes Windows.Nous couvrirons quatre principales sources de preuves: la pré-feste Windows, le registre, les fichiers journaux et les informations de fichier.
Préfet
La préfet de Windows est un bon endroit pour commencer à rechercher des preuves de l'exécution des fichiers.Microsoft a conçu la préfet de Windows pour permettre aux programmes couramment utilisés d'ouvrir plus rapidement.Par défaut, il stocke les informations pour le dernier
You found a malicious executable! Now you\'ve got a crucial question to answer: did the file execute? We\'ll discuss a few sources of evidence you can use to answer this question. In this post, we will focus on static or "dead drive" forensics on Windows systems. We will cover four main sources of evidence: Windows Prefetch, Registry, Log Files, and File Information. Prefetch Windows Prefetch is a good place to begin looking for evidence of file execution. Microsoft designed Windows Prefetch to allow commonly used programs to open faster. By default, it stores information for the last |
★★★★ | ||
|
2013-08-09 03:00:00 | Briser la coque Web de China Chopper - Partie II Breaking Down the China Chopper Web Shell - Part II (lien direct) |
Partie II dans une série en deux parties.Lire Partie I .
Introduction
dans Partie I De cette série, j'ai décrit l'interface facile à utiliser et les fonctionnalités avancées de China Chopper \\ - d'autant plus remarquables en considérant la petite taille de la coquille web \\: 73 octets pourLa version ASPX, 4 kilobytes sur le disque.Dans cet article, j'expliquerai la polyvalence de la plate-forme de China Hopper \\, les mécanismes de livraison, les modèles de trafic et la détection.J'espère que armé de ces informations, vous pouvez éradiquer ce ravageur de votre environnement.
plate-forme
Alors, sur quelle plateforme China Chopper peut-il fonctionner?Tout serveur Web capable d'exécuter JSP, ASP
Part II in a two-part series. Read Part I. Introduction In Part I of this series, I described China Chopper\'s easy-to-use interface and advanced features - all the more remarkable considering the Web shell\'s tiny size: 73 bytes for the aspx version, 4 kilobytes on disk. In this post, I\'ll explain China Chopper\'s platform versatility, delivery mechanisms, traffic patterns, and detection. My hope is that armed with this information, you can eradicate this pest from your environment. Platform So what platform can China Chopper run on? Any Web server that is capable of running JSP, ASP |
★★★★ | ||
|
2013-08-07 03:00:00 | Briser la coque Web de China Chopper - Partie I Breaking Down the China Chopper Web Shell - Part I (lien direct) |
Partie I dans une série en deux parties.
Chine Chine: le petit malware qui pourrait
China Chopper est un petit shell lisse qui ne reçoit pas suffisamment d'exposition et de crédit pour sa furtivité.À part un bon article de blog De la chercheuse en sécurité Keith Tyler, nous pourrions trouver peu d'informations utilesSur China Chopper lorsque nous l'avons rencontré lors d'un engagement de réponse aux incidents.Donc, pour contribuer quelque chose de nouveau à la base de connaissances publique - en particulier pour ceux qui trouvent la charge utile côté serveur China Chopper sur l'un de leurs serveurs Web - nous avons étudié les composants, les capacités, les attributs de charge utile
Part I in a two-part series. China Chopper: The Little Malware That Could China Chopper is a slick little web shell that does not get enough exposure and credit for its stealth. Other than a good blog post from security researcher Keith Tyler, we could find little useful information on China Chopper when we ran across it during an incident response engagement. So to contribute something new to the public knowledge base - especially for those who happen to find the China Chopper server-side payload on one of their Web servers - we studied the components, capabilities, payload attributes |
Malware | ★★★★ | |
|
2013-06-19 09:00:00 | Application des types de fonctions aux champs de structure en IDA Applying Function Types to Structure Fields in IDA (lien direct) |
IDA Pro est livré avec un tableau incroyablement utile d'informations de type recueillies à partir de divers compilateurs.Chaque fois qu'un utilisateur nomme un emplacement, IDA recherche ses bibliothèques de type actuellement chargées pour voir si ce nom est une fonction connue.Si la fonction est trouvée, IDA applique la déclaration de fonction à cet emplacement.Par exemple, la figure 1 montre un tableau de DWORD.Pendant l'ingénierie inverse, j'ai déterminé que ce sont des pointeurs de fonction vers les fonctions de l'API SDK MS.
Nommer l'emplacement avec le nom de la fonction correspondant fait qu'IDA applique automatiquement les informations de type.La figure 2 montre le résultat de
IDA Pro comes with an incredibly useful array of type information gathered from various compilers. Whenever a user names a location, IDA searches its currently loaded type libraries to see if that name is a known function. If the function is found, IDA applies the function declaration to that location. For example, Figure 1 shows an array of DWORDS. During reverse engineering, I determined that these are function pointers to MS SDK API functions. Naming the location with the corresponding function name causes IDA to automatically apply the type information. Figure 2 shows the result of |
★★★ | ||
|
2013-04-23 00:30:00 | Rappels de logiciels malveillants Malware Callbacks (lien direct) |
Aujourd'hui, nous avons publié notre premier Analyse des rappels de logiciels malveillants .
Fireeye a surveillé plus de 12 millions de communications de logiciels malveillants à la recherche d'instructions - ou des rappels - accessible à des centaines de milliers d'hôtes d'entreprise infectés, capturant les détails des attaques avancées ainsi que des variétés plus génériques au cours de 2012.Les intentions, les intérêts et l'emplacement géographique d'un attaquant.Les cyberattaques sont une activité mondiale répandue.Nous avons créé des cartes interactives qui mettent en évidence la présence de logiciels malveillants à l'échelle mondiale: http://www.fireeye.com/cyber-Attack-Landscape /
Today we released our first-ever analysis of malware callbacks. FireEye monitored more than 12 million malware communications seeking instructions-or callbacks-across hundreds of thousands of infected enterprise hosts, capturing details of advanced attacks as well as more generic varieties during the course of 2012. Callback activity reveals a great deal about an attacker\'s intentions, interests and geographic location. Cyber attacks are a widespread global activity. We\'ve built interactive maps that highlight the presence of malware globally: http://www.fireeye.com/cyber-attack-landscape/ |
Malware Technical | ★★★ | |
|
2013-02-19 07:00:45 | Mandiant expose APT1 & # 8211;L'une des unités de cyber-espionnage de Chine et libère 3 000 indicateurs Mandiant Exposes APT1 – One of China\\'s Cyber Espionage Units & Releases 3,000 Indicators (lien direct) |
Aujourd'hui, le Mandiant & Reg;Intelligence Center ™ a publié un rapport sans précédent Exposer la campagne d'espionnage informatique de l'APT1 \\ à l'échelle de l'entreprise.APT1 est l'une des dizaines de groupes de menaces, des pistes mandiantes du monde entier et nous le considérons comme l'un des plus prolifiques en termes de quantité d'informations qu'elle a volée.
Les faits saillants du rapport incluent:
Preuve liant APT1 au 2e Bureau de la Chine de la Chine du Département général de l'Armée de libération (PLA) \'s (GSD) 3e département (désignateur de couverture militaire 61398).
Une chronologie de l'espionnage économique de l'APT1 réalisée depuis 2006
Today, The Mandiant® Intelligence Center™ released an unprecedented report exposing APT1\'s multi-year, enterprise-scale computer espionage campaign. APT1 is one of dozens of threat groups Mandiant tracks around the world and we consider it to be one of the most prolific in terms of the sheer quantity of information it has stolen. Highlights of the report include: Evidence linking APT1 to China\'s 2nd Bureau of the People\'s Liberation Army (PLA) General Staff Department\'s (GSD) 3rd Department (Military Cover Designator 61398). A timeline of APT1 economic espionage conducted since 2006 |
Threat | APT 1 | ★★★★ |
|
2012-11-29 14:48:00 | Utilisation de hachages de chaîne pré-calculés lors de la cote de cote de rétro-ingénierie Using Precalculated String Hashes when Reverse Engineering Shellcode (lien direct) |
Au cours des cinq années, je fais partie de l'équipe d'analyse de logiciels malveillants de Mandiant (maintenant officiellement connu sous le nom de m-labs), il y a eu des moments où j'ai dû inverser des morceaux de shellcode.Dans cet article, je donnerai un arrière-plan sur les techniques de résolution d'importation de ShellCode et comment automatiser le balisage IDA pour permettre à ShellCode ingénieur de Shellcode plus rapide.
Inversion de shellcode
Le moyen le plus simple de déterminer ce qu'un morceau de shellcode fait est de lui permettre d'exécuter dans un environnement surveillé.Cela peut ne pas fonctionner si le shellcode est lancé par un exploit et que vous n'avez pas la version correcte du vulnérable
In the five years I have been a part of Mandiant\'s malware analysis team (now formally known as M-Labs) there have been times when I\'ve had to reverse engineer chunks of shellcode. In this post I will give some background on shellcode import resolution techniques and how to automate IDA markup to allow faster shellcode reverse engineering. Reversing Shellcode The easiest way to determine what a piece of shellcode does is to allow it to run within a monitored environment. This may not work if the shellcode is launched by an exploit and you don\'t have the correct version of the vulnerable |
Malware Technical | ★★★ |
To see everything:
Our RSS (filtrered)
