What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2020-02-05 14:15:00 | Stomp 2 Dis: Brilliance dans les bases (visuelles) STOMP 2 DIS: Brilliance in the (Visual) Basics (lien direct) |
Tout au long de janvier 2020, Fireeye a continué d'observer plusieurs campagnes de phishing ciblées conçues pour télécharger et déployer une porte dérobée que nous suivons en tant que Minebridge.Les campagnes ont principalement ciblé les organisations de services financiers aux États-Unis, bien que le ciblage soit probablement plus répandu que ceux que nous avons initialement observés dans notre télémétrie de produits FireEye.Au moins une campagne a ciblé les organisations sud-coréennes, y compris une agence de marketing.
Dans ces campagnes, les documents de phishing semblaient être soigneusement conçus et se sont moqués d'un document public - mais d'après notre expérience
Throughout January 2020, FireEye has continued to observe multiple targeted phishing campaigns designed to download and deploy a backdoor we track as MINEBRIDGE. The campaigns primarily targeted financial services organizations in the United States, though targeting is likely more widespread than those we\'ve initially observed in our FireEye product telemetry. At least one campaign targeted South Korean organizations, including a marketing agency. In these campaigns, the phishing documents appeared to be carefully crafted and leveraged some publicly-documented - but in our experience |
★★★★ | ||
|
2020-01-31 16:45:00 | DLL LEAT-WORKING & RIJACKING - Utilisation de l'intelligence des menaces pour armer la R&D DLL Side-loading & Hijacking - Using Threat Intelligence to Weaponize R&D (lien direct) |
Aperçu des techniques d'abus DLL
Bibliothèque dynamique-link (dll) Side-Choting se produit lorsque Windows Side-Aide (WinsXSS) se manifester programme.En termes de laïc \\, DLL LEAD-LADODING peut permettre à un attaquant de tromper un programme pour charger une DLL malveillante.Si vous êtes intéressé à en savoir plus sur la façon dont DLL à chargement latéral Fonctionne et comment nous voyons les attaquants en utilisant cette technique, lisez notre rapport.
dll hijacking Se produit lorsqu'un attaquant est en mesure de profiter de l'ordre de recherche et de chargement Windows, permettant l'exécution d'une DLL malveillante
DLL Abuse Techniques Overview Dynamic-link library (DLL) side-loading occurs when Windows Side-by-Side (WinSxS) manifests are not explicit about the characteristics of DLLs being loaded by a program. In layman\'s terms, DLL side-loading can allow an attacker to trick a program into loading a malicious DLL. If you are interested in learning more about how DLL side-loading works and how we see attackers using this technique, read through our report. DLL hijacking occurs when an attacker is able to take advantage of the Windows search and load order, allowing the execution of a malicious DLL |
Threat | ★★★ | |
|
2020-01-24 17:00:00 | Beau essai: 501 (ransomware) non implémenté Nice Try: 501 (Ransomware) Not Implemented (lien direct) |
une menace en constante évolution
Depuis le 10 janvier 2020, Fireeye a suivi une vaste exploitation globale de CVE-2019-19781, qui continue d'avoir un impact sur Citrix ADC et Gateway Instances qui sont non corrigées ou n'ont pas Mitigations appliquées .Nous avons précédemment rendu compte des attaquants \\ 'Swift Tuts d'exploiter cette vulnérabilité et le déploiement post-compromis de l'invisible Notrobin Makware Family par un acteur de menace.FireEye continue de suivre activement plusieurs grappes d'activité associées à l'exploitation de cette vulnérabilité, principalement basée sur la façon dont les attaquants interagissent avec vulnérable
An Ever-Evolving Threat Since January 10, 2020, FireEye has tracked extensive global exploitation of CVE-2019-19781, which continues to impact Citrix ADC and Gateway instances that are unpatched or do not have mitigations applied. We previously reported on attackers\' swift attempts to exploit this vulnerability and the post-compromise deployment of the previously unseen NOTROBIN malware family by one threat actor. FireEye continues to actively track multiple clusters of activity associated with exploitation of this vulnerability, primarily based on how attackers interact with vulnerable |
Malware Vulnerability Threat | ★★★★ | |
|
2020-01-15 15:00:00 | Vigilante Déploiement de l'atténuation pour la vulnérabilité Citrix NetScaler tout en maintenant la porte dérobée Vigilante Deploying Mitigation for Citrix NetScaler Vulnerability While Maintaining Backdoor (lien direct) |
comme indiqué dans Patch rust: je le promets que ce sera 200 ok , notre Fireeye mandiant L'équipe de réponse aux incidents a étéLe travail dur en répondant aux intrusions résultant de l'exploitation du CVE-2019-19781.Après avoir analysé des dizaines de tentatives d'exploitation réussies contre Citrix ADC qui n'avaient pas le Étapes d'atténuation Citrix Implémentées, nous avons reconnu plusieurs groupes d'activités post-exploitation.Dans ces derniers, quelque chose a attiré notre attention: un acteur de menace particulier qui a déployé une charge utile auparavant unie pour laquelle nous avons créé la famille de code Notrobin.
en ayant accès à un
As noted in Rough Patch: I Promise It\'ll Be 200 OK, our FireEye Mandiant Incident Response team has been hard at work responding to intrusions stemming from the exploitation of CVE-2019-19781. After analyzing dozens of successful exploitation attempts against Citrix ADCs that did not have the Citrix mitigation steps implemented, we\'ve recognized multiple groups of post-exploitation activity. Within these, something caught our eye: one particular threat actor that\'s been deploying a previously-unseen payload for which we\'ve created the code family NOTROBIN. Upon gaining access to a |
Vulnerability Threat | ★★★ | |
|
2020-01-14 11:10:33 | Patch rugueux: je le promets que ce sera 200 OK (Citrix ADC CVE-2019-19781) Rough Patch: I Promise It\\'ll Be 200 OK (Citrix ADC CVE-2019-19781) (lien direct) |
Le 17 décembre 2019, Citrix a publié un bulletin de sécurité CTX267027 , qui a identifié une vulnérabilité dans le contrôleur de livraison d'application Citrix (CTX (CONTRALLADC) et Citrix Gateway.Cette vulnérabilité, attribuée à CVE-2019-19781 , pourrait permettre un attaquant non authentifié pour effectuer un code à distance arbitraire à distance arbitraireExécution via la traversée du répertoire.Cette vulnérabilité a reçu un score de 9,8 et a été jugée critique.Le 8 janvier 2020, Tripwire a fourni une explication très détaillée du CVE que nous recommandons de lire.
Sur la base de ce contexte, de nombreux professionnels de la sécurité offensive ont décrit leur capacité à armer CVE-2019
On Dec. 17, 2019, Citrix released security bulletin CTX267027, which identified a vulnerability in Citrix Application Delivery Controller (ADC) and Citrix Gateway. This vulnerability, assigned CVE-2019-19781, could allow an unauthenticated attacker to perform arbitrary remote code execution via directory traversal. This vulnerability received a score of 9.8 and was deemed Critical. On Jan. 8, 2020, Tripwire provided a very detailed explanation of the CVE that we recommend reading. Based on this background, many offensive security professionals described their ability to weaponize CVE-2019 |
Vulnerability | ★★★★ | |
|
2020-01-09 17:30:00 | Saigon, la mystérieuse fourche Ursnif SAIGON, the Mysterious Ursnif Fork (lien direct) |
ursnif (aka Gozi / Gozi-ISFB) est l'une des plus anciennes familles de logiciels malveillants bancaires encore en distribution active.Alors que la première version majeure d'URSNIF a été identifiée en 2006, plusieurs versions ultérieures ont été publiées en grande partie en raison des fuites de code source.Fireeye a rendu compte d'une variante non identifiée auparavant de la famille Ursnif Malware à nos abonnés de l'intelligence des menaces en septembre 2019 après avoir identifié un serveur qui a hébergé une collection d'outils, qui comprenait plusieurs familles de logiciels malveillants de point de vente.Ce malware s'est identifié comme "Saigon version 3.50 Rev 132" et notre analyse
Ursnif (aka Gozi/Gozi-ISFB) is one of the oldest banking malware families still in active distribution. While the first major version of Ursnif was identified in 2006, several subsequent versions have been released in large part due source code leaks. FireEye reported on a previously unidentified variant of the Ursnif malware family to our threat intelligence subscribers in September 2019 after identification of a server that hosted a collection of tools, which included multiple point-of-sale malware families. This malware self-identified as "SaiGon version 3.50 rev 132," and our analysis |
Malware Threat | ★★★ | |
|
2019-12-11 13:00:00 | L'approche mandiante de la sécurité des technologies opérationnelles (OT) The Mandiant Approach to Operational Technology (OT) Security (lien direct) |
Ce post explique la philosophie mandiante et l'approche plus large de la sécurité des technologies opérationnelles (OT).En résumé, nous constatons que la visibilité combinée dans les environnements IT et OT est essentielle pour détecter l'activité malveillante à tout stade d'une intrusion OT.L'approche mandiante de la sécurité OT est de:
détecter les menaces tôt en utilisant la conscience de la situation complète de It et OT Networks.
La surface de la plupart des intrusions transcende les couches architecturales car à presque tous les niveaux en cours de route, il y a des ordinateurs (serveurs et postes de travail) et des réseaux utilisant le même ou similaire
This post explains the Mandiant philosophy and broader approach to operational technology (OT) security. In summary, we find that combined visibility into both the IT and OT environments is critical for detecting malicious activity at any stage of an OT intrusion. The Mandiant approach to OT security is to: Detect threats early using full situational awareness of IT and OT networks. The surface area for most intrusions transcends architectural layers because at almost every level along the way, there are computers (servers and workstations) and networks using the same or similar |
Industrial | ★★★ | |
|
2019-12-04 10:00:00 | Enfreindre les règles: une perspective difficile pour les attaques de page d'accueil (CVE-2017-11774) Breaking the Rules: A Tough Outlook for Home Page Attacks (CVE-2017-11774) (lien direct) |
Les attaquants ont un sale petit secret qui est utilisé pour effectuer de grandes intrusions.Nous expliquons comment ils "dispocker" un exploit, puis fournissent de nouvelles conseils de durcissement des perspectives qui ne sont pas disponibles ailleurs.Plus précisément, ce billet de blog couvre le traitement de registre automatisé sur le terrain pour les clés de registre pour protéger contre l'attaquant, les tentatives d'inverse de Microsoft \'s CVE-2017-11774 Fonctionnalité de patch.
malgré multiple avertissements de Fireeye et U.S.Cyber Command , nous avons continué à observer une augmentation de l'exploitation réussie du CVE-2017-11774, une attaque d'Outlook côté client qui implique
Attackers have a dirty little secret that is being used to conduct big intrusions. We\'ll explain how they\'re "unpatching" an exploit and then provide new Outlook hardening guidance that is not available elsewhere. Specifically, this blog post covers field-tested automated registry processing for registry keys to protect against attacker attempts to reverse Microsoft\'s CVE-2017-11774 patch functionality. Despite multiple warnings from FireEye and U.S. Cyber Command, we have continued to observe an uptick in successful exploitation of CVE-2017-11774, a client-side Outlook attack that involves |
★★★ | ||
|
2019-12-03 16:00:00 | Analyse exceller & # 8211;Conseils et astuces pour analyser les données avec Microsoft Excel Excelerating Analysis – Tips and Tricks to Analyze Data with Microsoft Excel (lien direct) |
Les enquêtes sur la réponse aux incidents n'impliquent pas toujours des artefacts standard basés sur l'hôte avec des outils d'analyse et d'analyse entièrement développés.Chez FireEye Mandiant, nous rencontrons fréquemment des incidents qui impliquent un certain nombre de systèmes et de solutions qui utilisent des données de journalisation ou d'artefacts personnalisés.La détermination de ce qui s'est passé dans un incident consiste à plonger dans le type de données qui nous sont présentés, à l'apprendre et à développer un moyen efficace d'analyser les preuves importantes.
L'un des outils les plus efficaces pour effectuer ce type d'analyse est celui qui est dans presque tout le monde \'s Toolkit
Incident response investigations don\'t always involve standard host-based artifacts with fully developed parsing and analysis tools. At FireEye Mandiant, we frequently encounter incidents that involve a number of systems and solutions that utilize custom logging or artifact data. Determining what happened in an incident involves taking a dive into whatever type of data we are presented with, learning about it, and developing an efficient way to analyze the important evidence. One of the most effective tools to perform this type of analysis is one that is in almost everyone\'s toolkit |
Tool | ★★★ | |
|
2019-11-25 20:00:00 | Fidl: Bibliothèque de décompilation Ida de Flare \\ FIDL: FLARE\\'s IDA Decompiler Library (lien direct) |
IDA Pro et les décompiler des rayons hexadécimaux font la base de toute boîte à outils pour la recherche en ingénierie inverse et en vulnérabilité.Dans un article de blog précédent, nous avons expliqué comment l'API des rayons hexadécimaux peut être utilisé pour résoudre de petits problèmes bien définis couramment considérés comme faisant partie de l'analyse des logiciels malveillants.Avoir accès à une représentation de code binaire de niveau supérieur fait du décompilateur des rayons hexagonaux un outil puissant pour l'ingénierie inverse.Cependant, l'interaction avec l'API Hexrays et ses sources de données sous-jacentes peut être intimidante, ce qui rend la création de scripts d'analyse générique difficile ou fastidieux.
Ce billet de blog présente le Fla
IDA Pro and the Hex Rays decompiler are a core part of any toolkit for reverse engineering and vulnerability research. In a previous blog post we discussed how the Hex-Rays API can be used to solve small, well-defined problems commonly seen as part of malware analysis. Having access to a higher-level representation of binary code makes the Hex-Rays decompiler a powerful tool for reverse engineering. However, interacting with the HexRays API and its underlying data sources can be daunting, making the creation of generic analysis scripts difficult or tedious. This blog post introduces the FLA |
Malware Tool Vulnerability | ★★★ | |
|
2019-11-14 17:00:00 | L'attention est tout ce dont ils ont besoin: la lutte contre les opérations d'information sur les réseaux sociaux avec des modèles de langue neuronale Attention is All They Need: Combatting Social Media Information Operations With Neural Language Models (lien direct) |
Les opérations d'information ont prospéré sur les réseaux sociaux en partie parce qu'elles peuvent être menées à moindre coût, sont relativement faibles, ont une portée mondiale immédiate et peuvent exploiter le type d'amplification virale incitée par les plateformes.À l'aide de réseaux de comptes coordonnés, des opérations d'information axées sur les médias sociaux diffusent et amplifient le contenu conçu pour promouvoir des récits politiques spécifiques, manipuler l'opinion publique, fomenter la discorde ou atteindre des objectifs idéologiques ou géopolitiques stratégiques.Les récents rapports publics de FireEye \\ illustre l'utilisation continue des médias sociaux en tant que
Information operations have flourished on social media in part because they can be conducted cheaply, are relatively low risk, have immediate global reach, and can exploit the type of viral amplification incentivized by platforms. Using networks of coordinated accounts, social media-driven information operations disseminate and amplify content designed to promote specific political narratives, manipulate public opinion, foment discord, or achieve strategic ideological or geopolitical objectives. FireEye\'s recent public reporting illustrates the continually evolving use of social media as a |
★★★★ | ||
|
2019-10-31 08:00:00 | Messagetap: Qui lit vos messages texte? MESSAGETAP: Who\\'s Reading Your Text Messages? (lien direct) |
Fireeye Mandiant a récemment découvert une nouvelle famille de logiciels malveillants utilisé par APT41 (un groupe APT chinois) conçu pour surveiller et enregistrer le trafic SMS à partir de numéros de téléphone spécifiques, de numéros IMSI et de mots clés pour le vol ultérieur.Nommé Messagetap, l'outil a été déployé par APT41 dans un fournisseur de réseaux de télécommunications à l'appui des efforts d'espionnage chinois.Les opérations d'APT41 \\ ont inclus des missions de cyber-espionnage parrainées par l'État ainsi que des intrusions financièrement motivées.Ces opérations se sont déroulées depuis 2012 à nos jours.Pour un aperçu de l'APT41, consultez notre Août 2019 Blog Post ou | Malware Tool | APT 41 | ★★★ |
|
2019-10-21 12:00:00 | Encodeur Shikata Ga Nai va toujours fort Shikata Ga Nai Encoder Still Going Strong (lien direct) |
L'un des cadres d'exploitation les plus populaires au monde est Metasploit.Sa vaste bibliothèque d'exploits de poche, son environnement de charge utile enfichable et sa simplicité d'exécution en font la plate-forme de base de facto.Metasploit est utilisé par les Pentesters, les amateurs de sécurité, les enfants de script et même les acteurs malveillants.Il est si répandu que sa base d'utilisateurs comprend même des acteurs de menace appropriés, comme nous le démontrerons plus loin dans le billet de blog.
Malgré l'existence de plus de 15 ans de métasploit, il existe encore des techniques de base qui ne sont pas détectées, permettant aux acteurs malveillants d'échapper à la détection.L'une de ces techniques de base est
One of the most popular exploit frameworks in the world is Metasploit. Its vast library of pocket exploits, pluggable payload environment, and simplicity of execution makes it the de facto base platform. Metasploit is used by pentesters, security enthusiasts, script kiddies, and even malicious actors. It is so prevalent that its user base even includes APT threat actors, as we will demonstrate later in the blog post. Despite Metasploit\'s over 15 year existence, there are still core techniques that go undetected, allowing malicious actors to evade detection. One of these core techniques is |
Threat | ★★★ | |
|
2019-10-17 10:30:00 | Dossier définitif de détails de débogage diabolique & # 8211;Partie deux: une plongée profonde didactique dans les déductions basées sur les données Definitive Dossier of Devilish Debug Details – Part Deux: A Didactic Deep Dive into Data Driven Deductions (lien direct) |
dans Première partie de cette série de blogs , Steve Miller a décrit quels sont les chemins PDB, comment ils apparaissent dans les logiciels malveillants, comment nous les utilisons pour détecter des fichiers malveillants, et comment nous les utilisons parfois pour faire des associations sur les groupes et les acteurs.
Alors que Steve a poursuivi ses recherches sur les chemins PDB, nous nous sommes intéressés à appliquer une analyse statistique plus générale.Le chemin PDB en tant qu'artefact pose un cas d'utilisation intrigant pour plusieurs raisons.
& timide; Premièrement, l'artefact PDB n'est pas directement lié à la fonctionnalité du binaire.En tant que sous-produit du processus de compilation, il contient des informations sur le développement
In Part One of this blog series, Steve Miller outlined what PDB paths are, how they appear in malware, how we use them to detect malicious files, and how we sometimes use them to make associations about groups and actors. As Steve continued his research into PDB paths, we became interested in applying more general statistical analysis. The PDB path as an artifact poses an intriguing use case for a couple of reasons. First, the PDB artifact is not directly tied to the functionality of the binary. As a byproduct of the compilation process, it contains information about the development |
★★★ | ||
|
2019-10-15 09:15:00 | Lowkey: Chasse pour l'ID de série de volume manquant LOWKEY: Hunting for the Missing Volume Serial ID (lien direct) |
En août 2019, Fireeye a publié le « Double Dragon » Rapport sur notre nouveau groupe de menaces gradué: APT41.Un groupe à double espionnage en Chine-Nexus et un groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.
Ce billet de blog concerne la porte dérobée passive sophistiquée que nous suivons en tant que Lowkey, mentionnée dans le rapport APT41 et récemment dévoilée au Fireeye Cyber Defense Summit .Nous avons observé le dispositif de ciel utilisé dans des attaques très ciblées, en utilisant des charges utiles qui fonctionnent uniquement sur des systèmes spécifiques.Famille de logiciels malveillants supplémentaires
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group: APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. This blog post is about the sophisticated passive backdoor we track as LOWKEY, mentioned in the APT41 report and recently unveiled at the FireEye Cyber Defense Summit. We observed LOWKEY being used in highly targeted attacks, utilizing payloads that run only on specific systems. Additional malware family |
Malware Threat | APT 41 APT-C-17 | ★★★★ |
|
2019-10-10 13:00:00 | Rester caché sur le point de terminaison: éluder la détection avec Shellcode Staying Hidden on the Endpoint: Evading Detection with Shellcode (lien direct) |
Les évaluations de l'équipe rouge vraie nécessitent un objectif secondaire d'éviter la détection.Une partie de la gloire d'une évaluation de l'équipe rouge réussie n'est pas détectée par rien ou personne sur le système.Comme les produits de détection et de réponse (EDR) modernes ont mûri au fil des ans, les équipes rouges doivent emboîter le pas.Ce billet de blog fournira quelques informations sur la façon dont les FireEye Mandiant Red Team Crafonge les charges utiles pour contourner les contourProduits EDR modernes et obtenez la commande et le contrôle complet (C2) sur leurs victimes \\ 'Systems.
L'injection de shellcode ou son exécution est notre méthode préférée pour lancer notre charge utile C2 sur un
True red team assessments require a secondary objective of avoiding detection. Part of the glory of a successful red team assessment is not getting detected by anything or anyone on the system. As modern Endpoint Detection and Response (EDR) products have matured over the years, the red teams must follow suit. This blog post will provide some insights into how the FireEye Mandiant Red Team crafts payloads to bypass modern EDR products and get full command and control (C2) on their victims\' systems. Shellcode injection or its execution is our favorite method for launching our C2 payload on a |
★★★★ | ||
|
2019-10-10 07:00:00 | Mahalo Fin7: Répondre aux opérateurs criminels \\ 'de nouveaux outils et techniques Mahalo FIN7: Responding to the Criminal Operators\\' New Tools and Techniques (lien direct) |
Au cours de plusieurs engagements récents de réponse aux incidents, les enquêteurs de FireEye Mandiant ont découvert de nouveaux outils dans l'arsenal de logiciels malveillants de Fin7 \\ et ont suivi le rythme comme Les opérateurs criminels mondiaux tentent de nouvelles techniques d'évasion.Dans ce blog, nous révélons deux des nouveaux outils de Fin7 \\ que nous avons appelés boostwrite et rdfsniffer.
Le premier des nouveaux outils de Fin7 \\ est Boostwrite & # 8211;Un compte-gouttes uniquement en mémoire qui décrypte les charges utiles intégrées à l'aide d'une clé de chiffrement récupérée à partir d'un serveur distant lors de l'exécution.FIN7 a été observé apporter de petits changements à cette famille de logiciels malveillants en utilisant plusieurs méthodes pour éviter l'antivirus traditionnel
During several recent incident response engagements, FireEye Mandiant investigators uncovered new tools in FIN7\'s malware arsenal and kept pace as the global criminal operators attempted new evasion techniques. In this blog, we reveal two of FIN7\'s new tools that we have called BOOSTWRITE and RDFSNIFFER. The first of FIN7\'s new tools is BOOSTWRITE – an in-memory-only dropper that decrypts embedded payloads using an encryption key retrieved from a remote server at runtime. FIN7 has been observed making small changes to this malware family using multiple methods to avoid traditional antivirus |
Malware Tool | ★★★ | |
|
2019-10-09 09:00:00 | Vivre hors du verger: tirer parti du bureau à distance Apple pour le bien et le mal Living off the Orchard: Leveraging Apple Remote Desktop for Good and Evil (lien direct) |
Les attaquants leur facilitent souvent la vie en s'appuyant sur le système d'exploitation préexistant et les applications tierces dans un environnement d'entreprise.Tirer parti de ces applications les aide à mélanger avec une activité de réseau normale et supprime la nécessité de développer ou d'apporter leurs propres logiciels malveillants.Cette tactique est souvent appelée vivant de la terre .Mais qu'en est-il du moment où cette terre est un verger de pommiers?
Dans les récentes enquêtes MacOS de l'entreprise, FireEye Mandiant a identifié l'application de bureau à distance Apple comme un vecteur de mouvement latéral et comme source de précieux artefacts médico-légaux.
Apple
Attackers often make their lives easier by relying on pre-existing operating system and third party applications in an enterprise environment. Leveraging these applications assists them with blending in with normal network activity and removes the need to develop or bring their own malware. This tactic is often referred to as Living Off The Land. But what about when that land is an Apple orchard? In recent enterprise macOS investigations, FireEye Mandiant identified the Apple Remote Desktop application as a lateral movement vector and as a source for valuable forensic artifacts. Apple |
★★★ | ||
|
2019-10-01 05:00:00 | Faux de tête: s'attaquer aux attaques de ransomware perturbatrices Head Fake: Tackling Disruptive Ransomware Attacks (lien direct) |
Au cours des derniers mois, Fireeye a observé des menaces motivées financièrement les acteurs de la menace utilisés par les tactiques qui se concentrent sur la perturbation des processus commerciaux en déploiement des ransomwares en masse dans tout l'environnement d'une victime.Comprenant que les processus commerciaux normaux sont essentiels à la réussite organisationnelle, ces campagnes de ransomwares se sont accompagnées de montants de rançon de plusieurs millions de dollars.Dans cet article, nous fournirons un examen technique d'une campagne récente qui remonte à une technique sur laquelle nous avons initialement signalé dans avril 2018 .
Entre mai et septembre 2019, Fireeye a répondu à
Within the past several months, FireEye has observed financially-motivated threat actors employ tactics that focus on disrupting business processes by deploying ransomware in mass throughout a victim\'s environment. Understanding that normal business processes are critical to organizational success, these ransomware campaigns have been accompanied with multi-million dollar ransom amounts. In this post, we\'ll provide a technical examination of one recent campaign that stems back to a technique that we initially reported on in April 2018. Between May and September 2019, FireEye responded to |
Ransomware Threat | ★★★ | |
|
2019-09-30 12:00:00 | Le Fireeye OT-CSIO: une ontologie pour comprendre, ré-comparer et évaluer les incidents de cybersécurité en technologie opérationnelle The FireEye OT-CSIO: An Ontology to Understand, Cross-Compare, and Assess Operational Technology Cyber Security Incidents (lien direct) |
The FireEye Technology Technology Cyber Security Incident Ontology (OT-CSIO)
Alors que le nombre de Menaces to Operational Technology (OT) ont considérablement augmenté depuis la découverte de Stuxnet & # 8211;Poussé par des facteurs tels que la convergence croissante avec les réseaux de technologies de l'information (TI) et la disponibilité croissante des informations sur les informations, la technologie, les logiciels et les documents de référence & # 8211;Nous n'avons observé qu'un petit nombre d'attaques axées sur le monde réel.La taille limitée de l'échantillon des attaques OT bien documentées et le manque d'analyse du point de vue du niveau macro représente un défi pour
The FireEye Operational Technology Cyber Security Incident Ontology (OT-CSIO) While the number of threats to operational technology (OT) have significantly increased since the discovery of Stuxnet – driven by factors such as the growing convergence with information technology (IT) networks and the increasing availability of OT information, technology, software, and reference materials – we have observed only a small number of real-world OT-focused attacks. The limited sample size of well-documented OT attacks and lack of analysis from a macro level perspective represents a challenge for |
Industrial | ★★★★ | |
|
2019-09-27 07:00:00 | Solutions de défi Flare-on 2019 2019 Flare-On Challenge Solutions (lien direct) |
Nous sommes heureux d'annoncer la conclusion du sixième défi annuel Flare-on.La popularité de cet événement continue de croître et cette année, nous avons vu un nombre record de joueurs ainsi que de finisseurs.Nous décomposons les chiffres plus tard dans le post, mais en ce moment, laissez \\ regarder les trucs amusants: le prix!Chacun des 308 joueurs dédiés et étonnants qui ont terminé notre marathon d'ingénierie inverse cette année recevra une médaille.Ces récompenses durement gagnées seront bientôt expédiées.Soit dit en passant, le nombre de finisseurs a brisé nos estimations, nous avons donc dû commander plus de prix.
Nous aimerions
We are pleased to announce the conclusion of the sixth annual Flare-On Challenge. The popularity of this event continues to grow and this year we saw a record number of players as well as finishers. We will break down the numbers later in the post, but right now let\'s look at the fun stuff: the prize! Each of the 308 dedicated and amazing players that finished our marathon of reverse engineering this year will receive a medal. These hard-earned awards will be shipping soon. Incidentally, the number of finishers smashed our estimates, so we have had to order more prizes. 
We would like |
★★★ | ||
|
2019-09-07 12:00:00 | Suctifier de source ouverte Open Sourcing StringSifter (lien direct) |
Les analystes de logiciels malveillants utilisent régulièrement le Strings Pendant l'analyse statiqueAfin d'inspecter les caractères imprimables d'un binaire.Cependant, l'identification des chaînes pertinentes à la main prend du temps et sujette à l'erreur humaine.Des binaires plus grands produisent plus de milliers de chaînes qui peuvent rapidement évoquer la fatigue des analystes, les chaînes pertinentes se produisent moins souvent que celles qui ne sont pas pertinentes, et la définition de «pertinente» peut varier considérablement selon les analystes.Les erreurs peuvent entraîner des indices manqués qui auraient réduit le temps global passé à effectuer une analyse de logiciels malveillants, ou pire encore, une enquête incomplète ou incorrecte
Malware analysts routinely use the Strings program during static analysis in order to inspect a binary\'s printable characters. However, identifying relevant strings by hand is time consuming and prone to human error. Larger binaries produce upwards of thousands of strings that can quickly evoke analyst fatigue, relevant strings occur less often than irrelevant ones, and the definition of "relevant" can vary significantly among analysts. Mistakes can lead to missed clues that would have reduced overall time spent performing malware analysis, or even worse, incomplete or incorrect investigatory |
Malware | ★★★★ | |
|
2019-09-05 04:00:00 | Protection des ransomwares et stratégies de confinement: conseils pratiques pour la protection des points finaux, le durcissement et le confinement Ransomware Protection and Containment Strategies: Practical Guidance for Endpoint Protection, Hardening, and Containment (lien direct) |
mise à jour (30 octobre 2020): Nous avons mis à jour le rapport pour inclure des stratégies de protection et de confinement supplémentaires basées sur la visibilité et les efforts de réponse en première ligne dans la lutte contre les ransomwares.Bien que la portée complète des recommandations incluses dans le rapport initial reste inchangée, les stratégies suivantes ont été ajoutées au rapport:
Configurations de règles de pare-feu Windows pour empêcher des binaires spécifiques d'établir des connexions sortantes à partir de points de terminaison
Étapes d'isolement et de planification du contrôleur de domaine
Proactive Autorisations GPO Revue et surveillance des conseils
Le ransomware est un global
UPDATE (Oct. 30, 2020): We have updated the report to include additional protection and containment strategies based on front-line visibility and response efforts in combating ransomware. While the full scope of recommendations included within the initial report remain unchanged, the following strategies have been added into the report: Windows Firewall rule configurations to block specific binaries from establishing outbound connections from endpoints Domain Controller isolation and recovery planning steps Proactive GPO permissions review and monitoring guidance Ransomware is a global |
Ransomware | ★★★ | |
|
2019-09-03 11:30:00 | Sharpersist: Windows Persistance Toolkit en C # SharPersist: Windows Persistence Toolkit in C# (lien direct) |
arrière-plan
PowerShell est utilisé par la communauté offensive depuis plusieurs années maintenant, mais les progrès récents de l'industrie de la sécurité défensive font migrer des kits d'outils offensifs de PowerShell à un C # réfléchissant pour échapper aux produits de sécurité modernes.Certaines de ces avancées incluent la journalisation des blocs de scripts, l'interface de script antimalware (AMSI) et le développement de signatures pour l'activité PowerShell malveillante par des fournisseurs de sécurité tiers.Plusieurs kits d'outils publics C # tels que ceinture de sécurité , sharpup et sharpview ont été libérés pour aider aux tâches dans diverses phases du cycle de vie d'attaque
Background PowerShell has been used by the offensive community for several years now but recent advances in the defensive security industry are causing offensive toolkits to migrate from PowerShell to reflective C# to evade modern security products. Some of these advancements include Script Block Logging, Antimalware Scripting Interface (AMSI), and the development of signatures for malicious PowerShell activity by third-party security vendors. Several public C# toolkits such as Seatbelt, SharpUp and SharpView have been released to assist with tasks in various phases of the attack lifecycle |
★★★ | ||
|
2019-08-29 17:00:00 | Dossier définitif de détails de débogage diabolique & # 8211;Première partie: Chemins PDB et logiciels malveillants Definitive Dossier of Devilish Debug Details – Part One: PDB Paths and Malware (lien direct) |
Vous êtes-vous déjà demandé ce qui se passe par l'esprit d'un auteur de logiciels malveillants?Comment construisent-ils leurs outils?Comment organisent-ils leurs projets de développement?Quel type d'ordinateurs et de logiciels qu'ils utilisent?Nous avons pris un coup de couteau et répondu à certaines de ces questions en explorant les informations de débogage de logiciels malveillants.
Nous constatons que les développeurs de logiciels malveillants donnent des noms descriptifs à leurs dossiers et projets de code, décrivant souvent les capacités du malware en développement.Ces noms descriptifs apparaissent ainsi dans un chemin PDB lorsqu'un projet de logiciel malveillant est compilé avec des informations de débogage de symboles.Tout le monde aime une histoire d'origine et
Have you ever wondered what goes through the mind of a malware author? How they build their tools? How they organize their development projects? What kind of computers and software they use? We took a stab and answering some of those questions by exploring malware debug information. We find that malware developers give descriptive names to their folders and code projects, often describing the capabilities of the malware in development. These descriptive names thus show up in a PDB path when a malware project is compiled with symbol debugging information. Everyone loves an origin story, and |
Malware | ★★★ | |
|
2019-08-19 12:30:00 | Game Over: détecter et arrêter une opération APT41 GAME OVER: Detecting and Stopping an APT41 Operation (lien direct) |
En août 2019, Fireeye a publié le rapport "Double Dragon" Sur notre nouveau groupe de menaces diplômées, APT41.Espionage à double espionnage China-Nexus et groupe financièrement axé sur les financières, APT41 cible des industries telles que les jeux, les soins de santé, la haute technologie, l'enseignement supérieur, les télécommunications et les services de voyage.APT41 est connu pour s'adapter rapidement aux changements et aux détections dans les environnements de victimes, recompilant souvent les logiciels malveillants dans les heures suivant l'activité des répondeurs.Dans plusieurs situations, nous avons également identifié APT41 en utilisant des vulnérabilités récemment divulguées, souvent en armement et en exploitant en quelques jours.
In August 2019, FireEye released the “Double Dragon” report on our newest graduated threat group, APT41. A China-nexus dual espionage and financially-focused group, APT41 targets industries such as gaming, healthcare, high-tech, higher education, telecommunications, and travel services. APT41 is known to adapt quickly to changes and detections within victim environments, often recompiling malware within hours of incident responder activity. In multiple situations, we also identified APT41 utilizing recently-disclosed vulnerabilities, often weaponzing and exploiting within a matter of days. |
Malware Threat | APT 41 APT 41 | ★★★★ |
|
2019-08-13 11:45:00 | Affichage de la vulnérabilité à une machine: priorisation automatisée des vulnérabilités logicielles Showing Vulnerability to a Machine: Automated Prioritization of Software Vulnerabilities (lien direct) |
Introduction
Si une vulnérabilité logicielle peut être détectée et corrigée, une intrusion potentielle est empêchée.Bien que toutes les vulnérabilités des logiciels ne soient pas connues, 86 pour cent des vulnérabilités menant à une violation de données ont été réparables , bien qu'il y ait S o m FIX-IOS-9-3-INSTALLATION-ÉSUES-FOR-ENVER-DIVICES / "> E Risque de dommages par inadvertance lors de l'application de correctifs logiciels.Lorsque de nouvelles vulnérabilités sont identifiées, ils sont publiés dans le dictionnaire commun des vulnérabilités et des expositions (CVE) par bases de données de vulnérabilité , comme la base de données nationale de vulnérabilité (NVD).
Le système de notation des vulnérabilités communes (CVSS) fournit une métrique pour
Introduction If a software vulnerability can be detected and remedied, then a potential intrusion is prevented. While not all software vulnerabilities are known, 86 percent of vulnerabilities leading to a data breach were patchable, though there is some risk of inadvertent damage when applying software patches. When new vulnerabilities are identified they are published in the Common Vulnerabilities and Exposures (CVE) dictionary by vulnerability databases, such as the National Vulnerability Database (NVD). The Common Vulnerabilities Scoring System (CVSS) provides a metric for |
Data Breach Vulnerability | ★★★ | |
|
2019-08-07 14:15:00 | Commando VM 2.0: Personnalisation, conteneurs et Kali, oh mon! Commando VM 2.0: Customization, Containers, and Kali, Oh My! (lien direct) |
La machine virtuelle offensive mandiante complète (« commando VM ») a balayé le Testing de la pénétration Communauté By Storm lors de son début début 2019 à Black Hat Asia Arsenal.Notre 1.0 Libération Fait de progrès avec plus de 140 outils.Eh bien maintenant, nous sommes de retour pour une autre version spectaculaire, cette fois chez Black Hat USA Arsenal 2019!Dans cette version 2.0, nous avons écouté la communauté et mis en œuvre de nouvelles fonctionnalités incontournables: Kali Linux, Docker Contaters et Package Personnalisation.
À propos de Commando VM
Les testeurs de pénétration utilisent généralement leurs propres variantes de machines Windows lors de l'évaluation
The Complete Mandiant Offensive Virtual Machine (“Commando VM”) swept the penetration testing community by storm when it debuted in early 2019 at Black Hat Asia Arsenal. Our 1.0 release made headway featuring more than 140 tools. Well now we are back again for another spectacular release, this time at Black Hat USA Arsenal 2019! In this 2.0 release we\'ve listened to the community and implemented some new must have features: Kali Linux, Docker containers, and package customization. About Commando VM Penetration testers commonly use their own variants of Windows machines when assessing |
★★★ | ||
|
2019-08-07 07:00:00 | APT41: un double espionnage et une opération de cybercriminalité APT41: A Dual Espionage and Cyber Crime Operation (lien direct) |
Aujourd'hui, FireEye Intelligence publie un rapport complet détaillant APT41, un groupe de cyber-menaces chinois prolifique qui effectue une activité d'espionnage parrainée par l'État parallèlement aux opérations à motivation financière.L'APT41 est unique parmi les acteurs de la Chine suivis en ce qu'il exploite les logiciels malveillants non publiques généralement réservés aux campagnes d'espionnage dans ce qui semble être une activité à des fins personnelles.Le ciblage explicite financièrement motivé est inhabituel parmi les groupes de menaces parrainés par l'État chinois, et les preuves suggèrent que l'APT41 a mené des opérations simultanées de cybercriminalité et de cyber-espionnage
Today, FireEye Intelligence is releasing a comprehensive report detailing APT41, a prolific Chinese cyber threat group that carries out state-sponsored espionage activity in parallel with financially motivated operations. APT41 is unique among tracked China-based actors in that it leverages non-public malware typically reserved for espionage campaigns in what appears to be activity for personal gain. Explicit financially-motivated targeting is unusual among Chinese state-sponsored threat groups, and evidence suggests APT41 has conducted simultaneous cyber crime and cyber espionage operations |
Threat | APT 41 APT 41 | ★★★★ |
|
2019-07-30 11:15:00 | Annonce du sixième défi annuel Flare-on Announcing the Sixth Annual Flare-On Challenge (lien direct) |
L'équipe Advanced Insinerering (Flare) de FireEye Labs est ravie d'annoncer que le défi de revers de la poussée de la Flare-On reviendra pour la sixième année consécutive.Le concours commencera à 20h00.ET le 16 août 2019. Il s'agit d'un défi de style CTF pour tous les ingénieurs inverses actifs et en herbe, analystes de logiciels malveillants et professionnels de la sécurité.Le concours se déroule pendant six semaines complet et se termine à 20h00.ET le 27 septembre 2019.
 Le concours de cette année \\ comportera un total de 12 défis couvrant une variété d'architectures de x86 sur Windows, .Net, Linux et Android.Aussi, pour le
The FireEye Labs Advanced Reverse Engineering (FLARE) team is thrilled to announce that the popular Flare-On reverse engineering challenge will return for the sixth straight year. The contest will begin at 8:00 p.m. ET on Aug. 16, 2019. This is a CTF-style challenge for all active and aspiring reverse engineers, malware analysts, and security professionals. The contest runs for six full weeks and ends at 8:00 p.m. ET on Sept. 27, 2019.  This year\'s contest will feature a total of 12 challenges covering a variety of architectures from x86 on Windows, .NET, Linux, and Android. Also, for the |
Malware | ★★★ | |
|
2019-07-25 14:15:00 | Trouver le mal dans la mémoire comprimée Windows 10, première partie: Volatilité et outils de rekall Finding Evil in Windows 10 Compressed Memory, Part One: Volatility and Rekall Tools (lien direct) |
Paging Tous les médecins numériques, les intervenants incidents et les amateurs de gestionnaire de mémoire!Vous êtes-vous déjà retrouvé sur un site client travaillant 24 heures sur 24 pour extraire le mal d'une image Windows 10?Avez-vous frappé le mur à étape zéro , rencontré des difficultés à visualiser un arbre de processus ou à énumer les modules de noyau?Ou pire encore, j'ai dû faire face à la suite C et leur faire savoir que vous ne pouviez pas trouver de mal?Ne craignez pas plus & # 8211;Flare vous a couvert.Nous avons analysé Windows 10 et intégré nos recherches sur Volatilité et rekall pour votre consommation immédiate!
jusqu'en août 2013, en tant que spécialiste qualifié
Paging all digital forensicators, incident responders, and memory manager enthusiasts! Have you ever found yourself at a client site working around the clock to extract evil from a Windows 10 image? Have you hit the wall at step zero, running into difficulties viewing a process tree, or enumerating kernel modules? Or even worse, had to face the C-Suite and let them know you couldn\'t find any evil? Well fear no more – FLARE has you covered. We\'ve analyzed Windows 10 and integrated our research into Volatility and Rekall tools for your immediate consumption! Until August 2013, as a skilled |
Tool | ★★★★ | |
|
2019-07-18 10:00:00 | Hard Pass: invitation déclinante APT34 \\ à rejoindre leur réseau professionnel Hard Pass: Declining APT34\\'s Invite to Join Their Professional Network (lien direct) |
arrière-plan
Avec des tensions géopolitiques croissantes au Moyen-Orient, nous nous attendons à ce que l'Iran augmente considérablement le volume et la portée de ses campagnes de cyber-espionnage.L'Iran a un besoin critique d'intelligence stratégique et est susceptible de combler cette lacune en effectuant un espionnage contre les décideurs et les organisations clés qui peuvent avoir des informations qui renforcent les objectifs économiques et de sécurité nationale de l'Iran.L'identification de nouveaux logiciels malveillants et la création d'une infrastructure supplémentaire pour permettre de telles campagnes met en évidence l'augmentation du tempo de ces opérations à l'appui des intérêts iraniens.
fi
Background With increasing geopolitical tensions in the Middle East, we expect Iran to significantly increase the volume and scope of its cyber espionage campaigns. Iran has a critical need for strategic intelligence and is likely to fill this gap by conducting espionage against decision makers and key organizations that may have information that furthers Iran\'s economic and national security goals. The identification of new malware and the creation of additional infrastructure to enable such campaigns highlights the increased tempo of these operations in support of Iranian interests. Fi |
Malware | APT 34 APT 34 | ★★★★ |
|
2019-06-11 10:15:00 | Hunting com objets (deuxième partie) Hunting COM Objects (Part Two) (lien direct) |
arrière-plan
En tant que suivi de Part dans cette série de blogs sur comHunting d'objets , ce post parlera de prendre plus profondément la méthodologie de chasse aux objets en regardant des méthodes d'objets com intéressantes exposées dans les propriétés et les sous-propriétés des objets com.
Qu'est-ce qu'un objet com?
Selon Microsoft , «L'objet composant MicrosoftLe modèle (COM) est un système indépendant de la plate-forme, distribué et orienté objet pour la création de composants logiciels binaires qui peuvent interagir.Com est la technologie de base pour l'Ole de Microsoft \\ (documents composés), ActiveX (composants compatibles Internet), ainsi que
Background As a follow up to Part One in this blog series on COM object hunting, this post will talk about taking the COM object hunting methodology deeper by looking at interesting COM object methods exposed in properties and sub-properties of COM objects. What is a COM Object? According to Microsoft, “The Microsoft Component Object Model (COM) is a platform-independent, distributed, object-oriented system for creating binary software components that can interact. COM is the foundation technology for Microsoft\'s OLE (compound documents), ActiveX (Internet-enabled components), as well |
★★★★ | ||
|
2019-06-04 09:45:00 | Hunting COM objets Hunting COM Objects (lien direct) |
Les objets COM ont récemment été utilisés par les testeurs de pénétration, les équipes rouges et les acteurs malveillants pour effectuer un mouvement latéral.Les objets COM ont été étudiés par plusieurs autres chercheurs dans le passé, dont Matt Nelson (Enigma0x3), qui a publié un Blog Board à ce sujet en 2017. Certains de ces objets com étaient également ajouté au projet Empire .Pour améliorer la pratique de l'équipe rouge, FireEye a effectué des recherches sur les objets COM disponibles sur les systèmes d'exploitation Windows 7 et 10.Plusieurs objets COM intéressants ont été découverts qui permettent la planification des tâches, le téléchargement et l'exécution sans fil ainsi que l'exécution de commandes
COM objects have recently been used by penetration testers, Red Teams, and malicious actors to perform lateral movement. COM objects were studied by several other researchers in the past, including Matt Nelson (enigma0x3), who published a blog post about it in 2017. Some of these COM objects were also added to the Empire project. To improve the Red Team practice, FireEye performed research into the available COM objects on Windows 7 and 10 operating systems. Several interesting COM objects were discovered that allow task scheduling, fileless download & execute as well as command execution |
★★★★ | ||
|
2019-05-30 10:00:00 | Framer le problème: les cyber-menaces et les élections Framing the Problem: Cyber Threats and Elections (lien direct) |
Cette année, le Canada, plusieurs nations européennes et d'autres organiseront des élections de haut niveau.Le sujet des menaces cyberlativées perturber et cibler les élections est devenue un domaine croissant de conscience des gouvernements et des citoyens dans le monde.Pour développer des solutions et des programmes de sécurité pour contrer les cyber-menaces aux élections, il est important de commencer par la catégorisation correcte de la menace.Dans cet article, nous explorerons les diverses menaces pour les élections que Fireeye a observées et fournir un cadre aux organisations pour trier ces activités.
L'écosystème électoral: cibles
Historiquement, Fireeye
This year, Canada, multiple European nations, and others will host high profile elections. The topic of cyber-enabled threats disrupting and targeting elections has become an increasing area of awareness for governments and citizens globally. To develop solutions and security programs to counter cyber threats to elections, it is important to begin with properly categorizing the threat. In this post, we\'ll explore the various threats to elections FireEye has observed and provide a framework for organizations to sort these activities. The Election Ecosystem: Targets Historically, FireEye |
★★★ | ||
|
2019-05-29 09:30:00 | Apprendre à classer les chaînes de sortie pour l'analyse de logiciels malveillants plus rapide Learning to Rank Strings Output for Speedier Malware Analysis (lien direct) |
inverse, les enquêteurs médico-légaux et les intervenants incidents ont un arsenal d'outils à leur disposition pour disséquer des binaires de logiciels malveillants.Lors de l'analyse des logiciels malveillants, ils appliquent successivement ces outils afin de recueillir progressivement des indices sur la fonction binaire, de concevoir des méthodes de détection et de déterminer comment contenir ses dommages.L'une des étapes initiales les plus utiles consiste à inspecter ses caractères imprimables via le Strings .Un binaire contiendra souvent des chaînes si elle effectue des opérations comme l'impression d'un message d'erreur, la connexion à une URL, la création d'une clé de registre ou la copie
Reverse engineers, forensic investigators, and incident responders have an arsenal of tools at their disposal to dissect malicious software binaries. When performing malware analysis, they successively apply these tools in order to gradually gather clues about a binary\'s function, design detection methods, and ascertain how to contain its damage. One of the most useful initial steps is to inspect its printable characters via the Strings program. A binary will often contain strings if it performs operations like printing an error message, connecting to a URL, creating a registry key, or copying |
Malware Tool | ★★★★ | |
|
2019-05-06 11:00:00 | Les plus grandes erreurs commises lors de la présentation de la cybersécurité à la haute direction ou au conseil d'administration, et comment les réparer The Biggest Mistakes Made When Presenting Cyber Security to Senior Leadership or the Board, and How to Fix Them (lien direct) |
Le but de communiquer des sujets de cybersécurité avec les cadres supérieurs et les conseils d'administration est de les aider à comprendre les principales préoccupations de cybersécurité, les impacts sur l'entreprise et les approches d'atténuation possibles afin qu'ils puissent établir les priorités et allouer des ressources requises.Avec un résultat aussi critique, pourquoi la plupart des qui présents ne parviennent pas à atteindre cet objectif?
c'est à ce sujet, pas vous
La plupart des présentations de cybersécurité aux cadres supérieurs et aux membres du conseil d'administration continuent de se concentrer sur la technologie et les points de données mal compatibles qui ne sont pertinents qu'au personnel des opérations de sécurité informatique et non
The goal of communicating cyber security topics with senior executives and boards is to help them understand the top cyber security concerns, the impacts to the business and possible mitigation approaches so they can establish priorities and allocate required resources. With such a critical outcome, why is it that most who present fail to achieve this goal? It\'s About Them, Not You Most cyber security presentations to senior management and board members continue to focus on technology and poorly relatable data points that are of relevance only to IT security operations personnel and no |
★★★ | ||
|
2019-04-25 08:01:01 | Carbanak Week Four partie partie: le joueur vidéo de bureau de Carbanak CARBANAK Week Part Four: The CARBANAK Desktop Video Player (lien direct) |
La première partie , la deuxième partie et la troisième partie de la semaine de Carbanak sont derrière nous.Dans ce dernier article de blog, nous plongeons dans l'un des outils les plus intéressants qui fait partie de l'ensemble d'outils Carbanak.Les auteurs de Carbanak ont écrit leur propre joueur vidéo et nous avons rencontré une capture vidéo intéressante de Carbanak d'un opérateur de réseau préparant un engagement offensant.Pouvons-nous le rejouer?
sur le lecteur vidéo
La porte dérobée de Carbanak est capable d'enregistrer la vidéo du bureau de la victime.Les attaquants auraient Viches de bureau enregistrées du flux de travail opérationnel de
Part One, Part Two and Part Three of CARBANAK Week are behind us. In this final blog post, we dive into one of the more interesting tools that is part of the CARBANAK toolset. The CARBANAK authors wrote their own video player and we happened to come across an interesting video capture from CARBANAK of a network operator preparing for an offensive engagement. Can we replay it? About the Video Player The CARBANAK backdoor is capable of recording video of the victim\'s desktop. Attackers reportedly viewed recorded desktop videos to gain an understanding of the operational workflow of |
Tool | ★★★ | |
|
2019-04-24 08:01:01 | Semaine de Carbanak Troisième partie: derrière la porte dérobée de Carbanak CARBANAK Week Part Three: Behind the CARBANAK Backdoor (lien direct) |
Nous avons couvert beaucoup de terrain dans Partie 1 et la deuxième partie de notre série de blogs de la semaine Carbanak.Maintenant, laissez \\ revoir une partie de notre analyse précédente et voyez comment elle tient.
En juin 2017, nous avons publié un article de blog partageant romanInformations sur la porte dérobée de Carbanak , y compris les détails techniques, l'analyse Intel et quelques déductions intéressantes sur ses opérations que nous avons formées à partir des résultats de l'analyse automatisée de centaines d'échantillons de carbanak.Certaines de ces déductions étaient des revendications sur l'ensemble d'outils et les pratiques de construction de Carbanak.Maintenant que nous avons un instantané du code source et du jeu d'outils
We covered a lot of ground in Part One and Part Two of our CARBANAK Week blog series. Now let\'s take a look back at some of our previous analysis and see how it holds up.
In June 2017, we published a blog post sharing novel information about the CARBANAK backdoor, including technical details, intel analysis, and some interesting deductions about its operations we formed from the results of automating analysis of hundreds of CARBANAK samples. Some of these deductions were claims about the toolset and build practices for CARBANAK. Now that we have a snapshot of the source code and toolset |
★★★ | ||
|
2019-04-23 12:45:00 | Semaine de Carbanak Deuxième partie: Poursuivre l'analyse du code source de Carbanak CARBANAK Week Part Two: Continuing the CARBANAK Source Code Analysis (lien direct) |
Mise à jour (30 avril): Après la sortie de notre série de blogs Carbanak Week en quatre parties, de nombreux lecteurs ont trouvé des endroits pour rendre les données partagées dans ces messages exploitables.Nous avons mis à jour ce message pour inclure certaines de ces informations.
dans le Tenue précédente , nous avons écrit sur la façon dont le hachage des cordes a été utilisé dans Carbanak pour gérer la résolution de l'API Windows tout au long de la base de code.Mais les auteurs ont également utilisé ce même algorithme de hachage de chaîne pour une autre tâche.Dans cet épisode, nous reprendrons là où nous nous sommes arrêtés et écrivons sur la détection antivirus (AV) de Carbanak, l'évasion AV, la paternité
Update (April 30): Following the release of our four-part CARBANAK Week blog series, many readers have found places to make the data shared in these posts actionable. We have updated this post to include some of this information.
In the previous installment, we wrote about how string hashing was used in CARBANAK to manage Windows API resolution throughout the entire codebase. But the authors used this same string hashing algorithm for another task as well. In this installment, we\'ll pick up where we left off and write about CARBANAK\'s antivirus (AV) detection, AV evasion, authorship |
★★★ | ||
|
2019-04-22 12:00:00 | Carbanak Week Première partie: un événement rare CARBANAK Week Part One: A Rare Occurrence (lien direct) |
Il est très inhabituel pour Flare d'analyser une porte dérobée en privé prolifique et développée pour que le code source et les outils d'opérateur tombent dans nos tours.Pourtant, c'est la circonstance extraordinaire qui ouvre la voie à Carbanak Week, une série de blogs en quatre parties qui commence par ce post.
Carbanak est l'une des délais les plus complets du monde.Il a été utilisé pour perpétrer des millions de dollars de délits financiers, en grande partie par le groupe que nous suivons comme |
Tool | ★★★ | |
|
2019-04-16 02:00:00 | La campagne de phishing de lance cible le gouvernement et les militaires de l'Ukraine;L'infrastructure révèle un lien potentiel avec la République dite de Luhansk \\ Spear Phishing Campaign Targets Ukraine Government and Military; Infrastructure Reveals Potential Link to So-Called Luhansk People\\'s Republic (lien direct) |
Début 2019, FireEye Threat Intelligence a identifié un e-mail de phishing de lance ciblant les entités gouvernementales en Ukraine.L'e-mail de phishing de lance comprenait un fichier LNK malveillant avec le script PowerShell pour télécharger la charge utile de deuxième étape à partir du serveur de commande et de contrôle (C & amp; c).Le courrier électronique a été reçu par les départements militaires en Ukraine et comprenait du contenu de leurre lié à la vente de machines de déminage.
Cette dernière activité est une continuation du phishing de lance qui ciblait le gouvernement ukrainien dès 2014. L'e-mail est lié à l'activité qui ciblait auparavant l'Ukrainien
In early 2019, FireEye Threat Intelligence identified a spear phishing email targeting government entities in Ukraine. The spear phishing email included a malicious LNK file with PowerShell script to download the second-stage payload from the command and control (C&C) server. The email was received by military departments in Ukraine and included lure content related to the sale of demining machines. This latest activity is a continuation of spear phishing that targeted the Ukrainian Government as early as 2014. The email is linked to activity that previously targeted the Ukrainian |
Threat | ★★★★ | |
|
2019-04-09 23:00:00 | Profil TTP de l'acteur de Triton, outils d'attaque personnalisés, détections et mappage ATT & CK TRITON Actor TTP Profile, Custom Attack Tools, Detections, and ATT&CK Mapping (lien direct) |
Présentation
Fireeye peut désormais confirmer que nous avons découvert et répond à une intrusion supplémentaire par l'attaquant derrière Triton dans une installation d'infrastructure critique différente .
En décembre 2017, Fireeye a publié publiquement notre première analyse sur l'attaque de Triton où les acteurs malveillants ont utilisé le cadre d'attaque personnalisé de Triton pour manipuler les systèmes de sécurité industrielle dans une installation d'infrastructure critique et ont provoqué par inadvertance un arrêt de processus.Dans la suivante recherche Nous avons examiné comment les attaquants peuvent avoir eu accès à des composants critiques nécessairesPour construire le cadre d'attaque de Triton
Overview FireEye can now confirm that we have uncovered and are responding to an additional intrusion by the attacker behind TRITON at a different critical infrastructure facility. In December 2017, FireEye publicly released our first analysis on the TRITON attack where malicious actors used the TRITON custom attack framework to manipulate industrial safety systems at a critical infrastructure facility and inadvertently caused a process shutdown. In subsequent research we examined how the attackers may have gained access to critical components needed to build the TRITON attack framework |
Industrial | ★★★ | |
|
2019-04-09 12:00:00 | Modèles d'apprentissage automatique: Gestion des changements dans les prédictions du modèle Churning Out Machine Learning Models: Handling Changes in Model Predictions (lien direct) |
Introduction
L'apprentissage automatique (ML) joue un rôle de plus en plus important dans la cybersécurité.Ici, à Fireeye, nous employons ML pour une variété de tâches telles que: Antivirus , Détection de PowerShell malveillante , et Corrélant le comportement des acteurs de la menace .Alors que de nombreuses personnes pensent que le travail d'un data scientifique est terminé lorsqu'un modèle est construit, la vérité est que les cyber-menaces changent constamment et nos modèles doivent également nos modèles.La formation initiale n'est que le début du processus et la maintenance du modèle ML crée une grande dette technique.Google fournit une introduction utile à ce sujet dans leur article "Machin
Introduction Machine learning (ML) is playing an increasingly important role in cyber security. Here at FireEye, we employ ML for a variety of tasks such as: antivirus, malicious PowerShell detection, and correlating threat actor behavior. While many people think that a data scientist\'s job is finished when a model is built, the truth is that cyber threats constantly change and so must our models. The initial training is only the start of the process and ML model maintenance creates a large amount of technical debt. Google provides a helpful introduction to this topic in their paper “Machin |
Threat | ★★★ | |
|
2019-04-08 11:30:00 | Trouver des faiblesses avant que les attaquants ne le fassent Finding Weaknesses Before the Attackers Do (lien direct) |
Ce billet de blog est apparu à l'origine comme un article dans M-Trends 2019 .
Consultants de FireEye Mandiant Red Team effectuent des évaluations basées sur des objectifs qui imitent les cyberattaques réelles par des attaquants avancés et nationaux de l'État tout au long du cycle de vie des attaques en se fondant dans des environnements et en observant comment les employés interagissent avec leurs postes de travail et leurs applications.Des évaluations comme celle-ci aident les organisations à identifier les faiblesses de leurs procédures de détection et de réponse actuelles afin qu'elles puissent mettre à jour leurs programmes de sécurité existants pour mieux faire face aux menaces modernes.
Une entreprise de services financiers a engagé un
This blog post originally appeared as an article in M-Trends 2019. FireEye Mandiant red team consultants perform objectives-based assessments that emulate real cyber attacks by advanced and nation state attackers across the entire attack lifecycle by blending into environments and observing how employees interact with their workstations and applications. Assessments like this help organizations identify weaknesses in their current detection and response procedures so they can update their existing security programs to better deal with modern threats. A financial services firm engaged a |
★★★ | ||
|
2019-04-05 12:00:00 | Pick-six: Intercepter une intrusion FIN6, un acteur récemment lié à Ryuk et Lockergoga Ransomware Pick-Six: Intercepting a FIN6 Intrusion, an Actor Recently Tied to Ryuk and LockerGoga Ransomware (lien direct) |
Résumé
Récemment, FireEye a géré la défense détectée et répondu à une intrusion FIN6 chez un client de l'industrie de l'ingénierie, qui semblait hors de caractère en raison du ciblage historique de FIN6 \\ des données de carte de paiement.L'intention de l'intrusion était initialement claire car le client n'avait pas ou ne traitait pas les données de la carte de paiement.Heureusement, chaque enquête menée par Managed Defence ou Mandiant comprend des analystes de notre équipe Fireeye Advanced Practices qui contribue à une activité corrélée observée dans nos centaines d'enquêtes et à des renseignements sur les menaces volumineuses.Notre équipe
Summary Recently, FireEye Managed Defense detected and responded to a FIN6 intrusion at a customer within the engineering industry, which seemed out of character due to FIN6\'s historical targeting of payment card data. The intent of the intrusion was initially unclear because the customer did not have or process payment card data. Fortunately, every investigation conducted by Managed Defense or Mandiant includes analysts from our FireEye Advanced Practices team who help correlate activity observed in our hundreds of investigations and voluminous threat intelligence holdings. Our team |
Ransomware Threat | ★★★ | |
|
2019-03-28 11:00:00 | Ce que l'avocat général doit faire pour se préparer à une cyber violation What General Counsel Need to Do to Prepare for a Cyber Breach (lien direct) |
L'avocat général (GC) relève une myriade de défis juridiques et commerciaux, mais aucun peut être aussi pénible que de faire face à une cyberattaque.Avant même de faire face à un incident, il y a le stress de ne pas savoir quand une attaque réussie peut se produire & # 8211;D'autant plus qu'il n'y a pas de méthode garantie pour l'empêcher et que toute organisation peut être dans la réticule.Les données de notre plus récent M-Trends 2019 Le rapport montre queLes entreprises de presque toutes les industries ou du marché ont connu une violation l'année dernière.
Avant qu'un GC puisse se concentrer sur le développement d'un plan de réponse aux incidents (IR) approprié, ils doivent pleinement
General Counsel (GC) address myriad legal and business challenges, but none may be as harrowing as dealing with a cyber attack. Even before dealing with an incident, there is the stress of simply not knowing when a successful attack may occur – especially since there is no guaranteed method of preventing it and any organization can be in the crosshairs. Data from our most recent M-Trends 2019 report shows that businesses in nearly every industry or market experienced a breach last year. Before a GC can focus on developing an appropriate incident response (IR) plan, they must fully |
★★ | ||
|
2019-03-28 08:00:00 | Commando VM: la première distribution offensive Windows de son genre Commando VM: The First of Its Kind Windows Offensive Distribution (lien direct) |
Pour les testeurs de pénétration à la recherche d'une plate-forme de test Linux stable et prise en charge, l'industrie convient que Kali est la plate-forme incontournable.Cependant, si vous préférez utiliser Windows comme système d'exploitation, vous avez peut-être remarqué qu'une plate-forme digne n'existait pas.En tant que chercheurs en sécurité, chacun de nous a probablement passé des heures à personnaliser un environnement Windows au moins une fois et nous utilisons tous les mêmes outils, services publics et techniques pendant les engagements des clients.Par conséquent, le maintien d'un environnement personnalisé tout en conservant tous nos ensembles d'outils à jour peut être une corvée monotone pour tous
For penetration testers looking for a stable and supported Linux testing platform, the industry agrees that Kali is the go-to platform. However, if you\'d prefer to use Windows as an operating system, you may have noticed that a worthy platform didn\'t exist. As security researchers, every one of us has probably spent hours customizing a Windows working environment at least once and we all use the same tools, utilities, and techniques during customer engagements. Therefore, maintaining a custom environment while keeping all our tool sets up-to-date can be a monotonous chore for all |
Tool | ★★★ | |
|
2019-03-26 10:30:00 | Winrar Zero-Day a abusé dans plusieurs campagnes WinRAR Zero-day Abused in Multiple Campaigns (lien direct) |
Winrar, un utilitaire d'archives de fichiers de plus de 20 ans utilisé par trop 500 millions d'utilisateurs Worldwide, récemmenta reconnu une vulnérabilité de longue date dans sa base de code.Une vulnérabilité de parcours de traversée de passes zéro récemment publiée, divulguée dans CVE-2018-20250 par Vérifier la recherche sur les points , permet aux attaquants de spécifier des destinations arbitraires lors de l'extraction de fichiers de fichiers formatés \\ 'ace \', quelle que soit la saisie de l'utilisateur.Les attaquants peuvent facilement atteindre la persistance et l'exécution de code en créant des archives malveillantes qui extraient les fichiers vers des emplacements sensibles, comme le dossier de menu de démarrage de Windows «Startup».Tandis que cela
WinRAR, an over 20-year-old file archival utility used by over 500 million users worldwide, recently acknowledged a long-standing vulnerability in its code-base. A recently published path traversal zero-day vulnerability, disclosed in CVE-2018-20250 by Check Point Research, enables attackers to specify arbitrary destinations during file extraction of \'ACE\' formatted files, regardless of user input. Attackers can easily achieve persistence and code execution by creating malicious archives that extract files to sensitive locations, like the Windows “Startup” Start Menu folder. While this |
Vulnerability | ★★★★ | |
|
2019-03-20 12:00:00 | Silketw: Parce que la télémétrie gratuite est… gratuite!|Blog SilkETW: Because Free Telemetry is … Free! | Blog (lien direct) |
Au fil du temps, les gens ont eu un intérêt sur place et hors de même pour Traçage des événements pour Windows (ETW).ETW, introduit pour la première fois dans Windows 2000, est une installation de traçage au niveau du noyau léger qui était à l'origine destiné à le débogage, au diagnostic et aux performances.Peu à peu, cependant, les défenseurs ont réalisé que ETW fournissait des mesures et des contenus de données qui n'étaient pas autrement disponibles sans efforts de développement personnalisés.Même ainsi, à part un certain nombre de grands acteurs de l'industrie, les gens ont été lents à adopter ETW comme source de données pour la détection et la recherche.Les deux principaux problèmes avec ETW sont: les complexités
Over time people have had an on-again, off-again interest in Event Tracing for Windows (ETW). ETW, first introduced in Windows 2000, is a lightweight Kernel level tracing facility that was originally intended for debugging, diagnostics and performance. Gradually, however, defenders realized that ETW provided metrics and data content that was not otherwise available without custom development efforts. Even so, aside from a number of big players in the industry, people have been slow to adopt ETW as a data source for detection and research. The two primary problems with ETW are: the complexities |
★★★ |
To see everything:
Our RSS (filtrered)
