What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2019-03-15 11:00:00 | Dissection d'une campagne de phishing de réseau Dissecting a NETWIRE Phishing Campaign\\'s Usage of Process Hollowing (lien direct) |
Introduction
Les auteurs de logiciels malveillants tentent d'échapper à la détection en exécutant leur charge utile sans avoir à écrire le fichier exécutable sur le disque.L'une des techniques les plus couramment vues de cette exécution "sans fil" est l'injection de code.Plutôt que d'exécuter directement les logiciels malveillants, les attaquants injectent le code de malware dans la mémoire d'un autre processus qui est déjà en cours d'exécution.
En raison de sa présence sur toutes les machines Windows 7 et ultérieures et le grand nombre de fonctionnalités prises en charge, PowerShell est un outil préféré des attaquants depuis un certain temps.Fireeye a publié plusieurs rapports où PowerShell était
Introduction Malware authors attempt to evade detection by executing their payload without having to write the executable file on the disk. One of the most commonly seen techniques of this "fileless" execution is code injection. Rather than executing the malware directly, attackers inject the malware code into the memory of another process that is already running. Due to its presence on all Windows 7 and later machines and the sheer number of supported features, PowerShell has been a favorite tool of attackers for some time. FireEye has published multiple reports where PowerShell was |
Malware Tool | ★★★ | |
|
2019-03-13 11:00:00 | Breaking the Bank: faiblesse des demandes d'IA financières Breaking the Bank: Weakness in Financial AI Applications (lien direct) |
Actuellement, les acteurs de la menace ont un accès limité à la technologie requise pour mener des opérations perturbatrices contre les systèmes d'intelligence artificielle financière (IA) et le risque de ce type de ciblage reste faible.Cependant, il existe un risque élevé d'acteurs de la menace tirant parti de l'IA dans le cadre des campagnes de désinformation pour provoquer une panique financière.À mesure que les outils financiers de l'IA deviennent plus courants, les méthodes contradictoires pour exploiter ces outils deviendront également plus disponibles, et les opérations ciblant l'industrie financière seront de plus en plus probables à l'avenir.
composés AI à la fois l'efficacité et le risque
financi
Currently, threat actors possess limited access to the technology required to conduct disruptive operations against financial artificial intelligence (AI) systems and the risk of this targeting type remains low. However, there is a high risk of threat actors leveraging AI as part of disinformation campaigns to cause financial panic. As AI financial tools become more commonplace, adversarial methods to exploit these tools will also become more available, and operations targeting the financial industry will be increasingly likely in the future. AI Compounds Both Efficiency and Risk Financi |
Tool Threat | ★★★ | |
|
2019-03-12 10:00:00 | Aller atomique: regroupement et association de l'activité des attaquants à grande échelle Going ATOMIC: Clustering and Associating Attacker Activity at Scale (lien direct) |
À Fireeye, nous travaillons dur pour détecter, suivre et arrêter les attaquants.Dans le cadre de ce travail, nous apprenons beaucoup d'informations sur le fonctionnement des divers attaquants, y compris des détails sur les logiciels malveillants couramment utilisés, les infrastructures, les mécanismes de livraison et d'autres outils et techniques.Ces connaissances sont construites plus de centaines d'enquêtes et de milliers d'heures d'analyse chaque année.Au moment de la publication, nous avons 50 groupes APT ou FIN, chacun ayant des caractéristiques distinctes.Nous avons également collecté des milliers de grappes \\ 'non caractérisées \' d'activité connexe sur laquelle nous n'avons pas encore fait
At FireEye, we work hard to detect, track, and stop attackers. As part of this work, we learn a great deal of information about how various attackers operate, including details about commonly used malware, infrastructure, delivery mechanisms, and other tools and techniques. This knowledge is built up over hundreds of investigations and thousands of hours of analysis each year. At the time of publication, we have 50 APT or FIN groups, each of which have distinct characteristics. We have also collected thousands of uncharacterized \'clusters\' of related activity about which we have not yet made |
Tool | ★★★★ | |
|
2019-03-04 13:00:00 | M-Trends 2019: Célébrer 10 ans de rapport de réponse aux incidents M-Trends 2019: Celebrating 10 Years of Incident Response Reporting (lien direct) |
Aujourd'hui, nous publions M-Trends 2019 et célébrez le 10e anniversaire de partage de nos idées des lignes de front avec la communauté de la cybersécurité.Lorsque nous nous sommes assis pour rédiger le premier rapport M-Trends il y a dix ans, notre objectif était d'armer des professionnels de la sécurité avec des détails sur les dernières attaques et menaces que nous voyions pendant nos engagements & # 8211;des informations qui pourraient être particulièrement utiles aux défenseurs.La réponse a été fantastique, nous avons donc continué à écrire, cherchant toujours à apporter quelque chose de nouveau à la table.
En 2011, nous avons frappé quelque chose de grand & # 8211;une statistique connue sous le nom de temps de séjour.C'était une grande mesure pour
Today we release M-Trends 2019 and celebrate the 10th anniversary of sharing our insights from the front lines with the cyber security community. When we sat down to write the first M-Trends report ten years ago, our goal was to arm security professionals with details on the latest attacks and threats we were seeing during our engagements – information that could be of particular use to defenders. The response was fantastic, so we kept writing, always looking to bring something new to the table. In 2011, we hit on something big – a statistic known as dwell time. It was a great measure for |
★★★ | ||
|
2019-03-04 13:00:00 | APT40: Examiner un acteur d'espionnage en Chine-Nexus APT40: Examining a China-Nexus Espionage Actor (lien direct) |
Fireeye met en évidence une opération de cyber-espionnage ciblant les technologies cruciales et les cibles de renseignement traditionnelles d'un acteur parrainé par l'État de Chine-Nexus que nous appelons APT40.L'acteur a mené des opérations depuis au moins 2013 à l'appui de l'effort de modernisation navale de la Chine.Le groupe a spécifiquement ciblé l'ingénierie, le transport et l'industrie de la défense, en particulier lorsque ces secteurs chevauchent les technologies maritimes.Plus récemment, nous avons également observé un ciblage spécifique des pays stratégiquement importants pour l'initiative Belt and Road, notamment le Cambodge, la Belgique, l'Allemagne
FireEye is highlighting a cyber espionage operation targeting crucial technologies and traditional intelligence targets from a China-nexus state sponsored actor we call APT40. The actor has conducted operations since at least 2013 in support of China\'s naval modernization effort. The group has specifically targeted engineering, transportation, and the defense industry, especially where these sectors overlap with maritime technologies. More recently, we have also observed specific targeting of countries strategically important to the Belt and Road Initiative including Cambodia, Belgium, Germany |
APT 40 APT 40 | ★★★★ | |
|
2019-02-28 16:30:00 | Série de scripts Flare: récupération de stackstrings en utilisant l'émulation avec des irontrements FLARE Script Series: Recovering Stackstrings Using Emulation with ironstrings (lien direct) |
Cet article de blog poursuit notre série de scripts où l'équipe de la FireEye Labs Advanced Reverser Engineering (Flare) partage des outils pour aider la communauté d'analyse des logiciels malveillants.Aujourd'hui, nous publions ironstrings : Une nouvelle idapythonscript pour récupérer les stackstrings à partir de logiciels malveillants.Le script exploite l'émulation de code pour surmonter cette technique d'obscurcissement de la chaîne commune.Plus précisément, il utilise notre Outil, qui combine IDA Pro et le moteur d'émulation Unicorn.Dans cet article de blog, j'explique comment notre nouveau script utilise Flare-EMU pour récupérer les stackstrings à partir de logiciels malveillants.De plus, je discute de Flare-emu \'s Event Hooks
This blog post continues our Script Series where the FireEye Labs Advanced Reverse Engineering (FLARE) team shares tools to aid the malware analysis community. Today, we release ironstrings: a new IDAPython script to recover stackstrings from malware. The script leverages code emulation to overcome this common string obfuscation technique. More precisely, it makes use of our flare-emu tool, which combines IDA Pro and the Unicorn emulation engine. In this blog post, I explain how our new script uses flare-emu to recover stackstrings from malware. In addition, I discuss flare-emu\'s event hooks |
Malware Tool | ★★★★ | |
|
2019-01-29 11:00:00 | APT39: Un groupe de cyber-espionnage iranien s'est concentré sur les informations personnelles APT39: An Iranian Cyber Espionage Group Focused on Personal Information (lien direct) |
Mise à jour (30 janvier): La figure 1 a été mise à jour pour refléter plus précisément le ciblage APT39.Plus précisément, l'Australie, la Norvège et la Corée du Sud ont été supprimées.
En décembre 2018, Fireeye a identifié l'APT39 comme un groupe de cyber-espionnage iranien responsable du vol généralisé d'informations personnelles.Nous avons suivi l'activité liée à ce groupe depuis novembre 2014 afin de protéger les organisations de l'activité APT39 à ce jour.APT39 \\ est l'accent mis sur le vol répandu d'informations personnelles le distingue des autres groupes iraniens Fireeye, qui ont été liés à opérations d'influence , perturbateurs
UPDATE (Jan. 30): Figure 1 has been updated to more accurately reflect APT39 targeting. Specifically, Australia, Norway and South Korea have been removed. In December 2018, FireEye identified APT39 as an Iranian cyber espionage group responsible for widespread theft of personal information. We have tracked activity linked to this group since November 2014 in order to protect organizations from APT39 activity to date. APT39\'s focus on the widespread theft of personal information sets it apart from other Iranian groups FireEye tracks, which have been linked to influence operations, disruptive |
APT33 APT 39 APT 39 APT 33 | ★★★★ | |
|
2019-01-24 16:00:00 | Contourner les restrictions du réseau via le tunneling RDP Bypassing Network Restrictions Through RDP Tunneling (lien direct) |
Remote Desktop Services est un composant de Microsoft Windows qui est utilisé par diverses entreprises pour la commodité qu'il propose des administrateurs de systèmes, des ingénieurs et des employés distants.D'un autre côté, les services de bureau à distance, et en particulier le protocole de bureau à distance (RDP), offre cette même commodité aux acteurs de la menace distante lors de compromis système ciblés.Lorsque les acteurs de menace sophistiqués établissent une implication et acquièrent de grandes informations d'identification de connexion, ils peuvent passer de la baie à l'utilisation de sessions RDP directes pour un accès à distance.Lorsque les logiciels malveillants sont retirés de l'équation, les intrusions deviennent
Remote Desktop Services is a component of Microsoft Windows that is used by various companies for the convenience it offers systems administrators, engineers and remote employees. On the other hand, Remote Desktop Services, and specifically the Remote Desktop Protocol (RDP), offers this same convenience to remote threat actors during targeted system compromises. When sophisticated threat actors establish a foothold and acquire ample logon credentials, they may switch from backdoors to using direct RDP sessions for remote access. When malware is removed from the equation, intrusions become |
Malware Threat | ★★★★ | |
|
2019-01-23 14:00:00 | Crypto-monnaie et réseaux de blockchain: Face à de nouveaux paradigmes de sécurité Cryptocurrency and Blockchain Networks: Facing New Security Paradigms (lien direct) |
Le 22 janvier, Fireeye a participé à un panel axé sur les crypto-monnaies et la technologie de la blockchain pendant le Forum économique mondial.Le panel a abordé les problèmes soulevés dans un Rapport développé par Fireeye, avec notre partenaire Marsh & McLennan (une entreprise mondiale de services professionnels) et Circle (une société mondiale de financement de crypto).Le rapport a abordé certaines des considérations de sécurité autour des crypto-assets & # 8211;Aujourd'hui et dans le futur, et dans cet article de blog, nous approfondissons les paradigmes de sécurité entourant les crypto-monnaies et les réseaux de blockchain.
Tout d'abord, un arrière-plan qui fournira
On Jan. 22, FireEye participated in a panel focused on cryptocurrencies and blockchain technology during the World Economic Forum. The panel addressed issues raised in a report developed by FireEye, together with our partner Marsh & McLennan (a global professional services firm) and Circle (a global crypto finance company). The report touched on some of the security considerations around crypto-assets – today and in the future, and in this blog post, we delve deeper into the security paradigms surrounding cryptocurrencies and blockchain networks. First, some background that will provide |
★★★★ | ||
|
2019-01-10 13:00:00 | Une astuce désagréable: des logiciels malveillants de vol d'identification aux perturbations de l'entreprise A Nasty Trick: From Credential Theft Malware to Business Disruption (lien direct) |
FireEye suit un ensemble d'activités motivées financières appelées Temp.Mixmaster qui implique le déploiement interactif de Ryuk Ransomware après des infections malveillantes TrickBot.Ces opérations sont actives depuis au moins décembre 2017, avec une augmentation notable dans la seconde moitié de 2018, et se sont avérées très réussies pour solliciter des paiements de rançon importants d'organisations victimes.Dans plusieurs incidents, plutôt que de s'appuyer uniquement sur les capacités de Trickbot intégrées, Temp.Mixmaster a utilisé des connexions Empire et RDP pour permettre le mouvement latéral dans les environnements victimes
FireEye is tracking a set of financially-motivated activity referred to as TEMP.MixMaster that involves the interactive deployment of Ryuk ransomware following TrickBot malware infections. These operations have been active since at least December 2017, with a notable uptick in the latter half of 2018, and have proven to be highly successful at soliciting large ransom payments from victim organizations. In multiple incidents, rather than relying solely on built-in TrickBot capabilities, TEMP.MixMaster used EMPIRE and RDP connections to enable lateral movement within victim environments |
Ransomware Malware | ★★★★ | |
|
2019-01-09 15:45:00 | Campagne mondiale de détournement DNS: DNS Record Manipulation à grande échelle Global DNS Hijacking Campaign: DNS Record Manipulation at Scale (lien direct) |
Introduction
Les équipes de réponse aux incidents et de renseignement de Fireeye \\ ont identifié une vague de détournement de DNS qui a affecté des dizaines de domaines appartenant au gouvernement, aux télécommunications et aux entités d'infrastructure Internet à travers le Moyen-Orient et l'Afrique du Nord, l'Europe et l'Amérique du Nord.Bien que nous ne lions actuellement cette activité à aucun groupe suivi, les recherches initiales suggèrent que l'acteur ou les acteurs responsables ont un lien avec l'Iran.Cette campagne a ciblé les victimes à travers le monde à une échelle presque sans précédent, avec un haut degré de succès.Nous avons suivi cette activité
Introduction FireEye\'s Mandiant Incident Response and Intelligence teams have identified a wave of DNS hijacking that has affected dozens of domains belonging to government, telecommunications and internet infrastructure entities across the Middle East and North Africa, Europe and North America. While we do not currently link this activity to any tracked group, initial research suggests the actor or actors responsible have a nexus to Iran. This campaign has targeted victims across the globe on an almost unprecedented scale, with a high degree of success. We have been tracking this activity |
★★★★ | ||
|
2019-01-08 16:00:00 | Cireging the Past: Windows Registry Forensics Revisited Digging Up the Past: Windows Registry Forensics Revisited (lien direct) |
Introduction
Les consultants FireEye utilisent fréquemment les données du registre Windows lors de l'exécution de l'analyse médico-légale des réseaux informatiques dans le cadre des missions d'évaluation des incidents et de compromis.Cela peut être utile pour découvrir une activité malveillante et déterminer quelles données peuvent avoir été volées à un réseau.De nombreux types de données différents sont présents dans le registre qui peuvent fournir des preuves de l'exécution du programme, des paramètres d'application, de la persistance des logiciels malveillants et d'autres artefacts précieux.
L'analyse médico-légale des attaques passées peut être particulièrement difficile.Menace persistante avancée
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts. Performing forensic analysis of past attacks can be particularly challenging. Advanced persistent threat |
Malware Technical | ★★★★ | |
|
2018-12-21 19:00:00 | Rejeté: contenant un adversaire potentiellement destructeur OVERRULED: Containing a Potentially Destructive Adversary (lien direct) |
mise à jour (3 juillet 2019): Le 16 mai 2019, l'équipe Advanced Practices de Fireeye \\ a attribué la "activité APT33 présumée" (appelée GroupB dans cet article de blog) à APT33, opérantà la demande du gouvernement iranien.Les logiciels malveillants et les métiers de cet article de blog sont conformes aux Juin 2019 Campagne d'intrusion Les secteurs financiers, de vente au détail, des médias et de l'éducation & # 8211;ainsi que U.S.Cyber Command \'s Juillet 2019 CVE-2017-11774 Indicateurs , que Fireeye attribue également à APT33.Le processus rigoureux de FireEye \\ pour le regroupement et l'attribution de ce
UPDATE (Jul. 3, 2019): On May 16, 2019 FireEye\'s Advanced Practices team attributed the remaining "suspected APT33 activity" (referred to as GroupB in this blog post) to APT33, operating at the behest of the Iranian government. The malware and tradecraft in this blog post are consistent with the June 2019 intrusion campaign targeting U.S. federal government agencies and financial, retail, media, and education sectors – as well as U.S. Cyber Command\'s July 2019 CVE-2017-11774 indicators, which FireEye also attributes to APT33. FireEye\'s rigorous process for clustering and attributing this |
Malware | APT33 APT 33 APT 33 | ★★★★ |
|
2018-12-13 17:00:00 | Quels sont les réseaux de neurones profonds qui apprennent sur les logiciels malveillants? What are Deep Neural Networks Learning About Malware? (lien direct) |
Un nombre croissant de solutions antivirus modernes reposent sur des techniques d'apprentissage automatique (ML) pour protéger les utilisateurs contre les logiciels malveillants.Alors que les approches basées sur ML, comme la capacité de malveillance de FireEye Endpoint Security \\, ont fait un excellent travail pour détecter de nouvelles menaces, elles comportent également des coûts de développement substantiels.La création et la conservation d'un large ensemble de fonctionnalités utiles prennent beaucoup de temps et d'expertise des analystes de logiciels malveillants et des scientifiques des données (notez que dans ce contextepour distinguer les goodware et
An increasing number of modern antivirus solutions rely on machine learning (ML) techniques to protect users from malware. While ML-based approaches, like FireEye Endpoint Security\'s MalwareGuard capability, have done a great job at detecting new threats, they also come with substantial development costs. Creating and curating a large set of useful features takes significant amounts of time and expertise from malware analysts and data scientists (note that in this context a feature refers to a property or characteristic of the executable that can be used to distinguish between goodware and |
Malware | ★★★★ | |
|
2018-12-12 17:30:00 | Flare Script Series: Automating Objective-C Code Analyse avec émulation FLARE Script Series: Automating Objective-C Code Analysis with Emulation (lien direct) |
Ce billet de blog est le prochain épisode de la série d'équipes de l'équipe Advanced Reverse Engineering (Flare) de FireEye Labs.Aujourd'hui, nous partageons une nouvelle bibliothèque idapython & # 8211; flare-emu & # 8211;Propulsé par ida pro et le Framework d'émulation Unicorn qui fournit des fonctionnalités d'émulation scriptable pour les architectures x86, x86_64, ARM et ARM64 aux ingénieurs inversés.Parallèlement à cette bibliothèque, nous partageons également un script Idapython d'analyse de code objectif-C qui l'utilise.Lisez la suite pour apprendre certaines façons créatives que l'émulation peut aider à résoudre vos problèmes d'analyse de code et comment utiliser notre nouvelle bibliothèque idapython pour vous sauver
This blog post is the next episode in the FireEye Labs Advanced Reverse Engineering (FLARE) team Script Series. Today, we are sharing a new IDAPython library – flare-emu – powered by IDA Pro and the Unicorn emulation framework that provides scriptable emulation features for the x86, x86_64, ARM, and ARM64 architectures to reverse engineers. Along with this library, we are also sharing an Objective-C code analysis IDAPython script that uses it. Read on to learn some creative ways that emulation can help solve your code analysis problems and how to use our new IDAPython library to save you |
★★★★ | ||
|
2018-11-29 17:00:00 | Détection de ligne de commande obscurci à l'aide d'apprentissage automatique Obfuscated Command Line Detection Using Machine Learning (lien direct) |
Cet article de blog présente une approche d'apprentissage automatique (ML) pour résoudre un problème de sécurité émergent: détecter les invocations de la ligne de commande de Windows obscurcis sur les points de terminaison.Nous commençons par une introduction à cette capacité de menace relativement nouvelle, puis discutons de la façon dont ces problèmes ont traditionnellement été traités.Nous décrivons ensuite une approche d'apprentissage automatique pour résoudre ce problème et soulignons comment ML simplifie considérablement le développement et le maintien d'un détecteur d'obfuscation robuste.Enfin, nous présentons les résultats obtenus en utilisant deux techniques de ML différentes et comparons les avantages de chacun.
introduc
This blog post presents a machine learning (ML) approach to solving an emerging security problem: detecting obfuscated Windows command line invocations on endpoints. We start out with an introduction to this relatively new threat capability, and then discuss how such problems have traditionally been handled. We then describe a machine learning approach to solving this problem and point out how ML vastly simplifies development and maintenance of a robust obfuscation detector. Finally, we present the results obtained using two different ML techniques and compare the benefits of each. Introduc |
Threat | ★★★★ | |
|
2018-11-20 17:30:00 | Cmd et conquér: dé-dosfuscation avec flare-qdb Cmd and Conquer: De-DOSfuscation with flare-qdb (lien direct) |
Lorsque Daniel Bohannon a publié son excellent dosfusccation Papier, j'ai été fasciné de voir comment les astuces que j'ai utilisées en tant qu'ingénieur de systèmes pouvaient aider les attaquants à échapper à la détection.Je n'avais pas beaucoup à contribuer à cette conversation jusqu'à ce que je devais analyser un fichier de lots hideusement obscurci dans le cadre de mon travail sur la file d'attente de logiciels malveillants.
Auparavant, j'ai publié flare-qdb , qui est un débogueur de commande et python-scriptable basé sur Vivisect.J'ai précédemment a écrit .Flare-QDB a également fait une apparition dans Austin Baker et Jacob Christie \'s s
When Daniel Bohannon released his excellent DOSfuscation paper, I was fascinated to see how tricks I used as a systems engineer could help attackers evade detection. I didn\'t have much to contribute to this conversation until I had to analyze a hideously obfuscated batch file as part of my job on the FLARE malware queue. Previously, I released flare-qdb, which is a command-line and Python-scriptable debugger based on Vivisect. I previously wrote about how to use flare-qdb to instrument and modify malware behavior. Flare-qdb also made a guest appearance in Austin Baker and Jacob Christie\'s S |
Malware | ★★★★ | |
|
2018-11-19 22:00:00 | Pas si confortable: un examen inconfortable d'une campagne de phishing présumée APT29 Not So Cozy: An Uncomfortable Examination of a Suspected APT29 Phishing Campaign (lien direct) |
Introduction
Les appareils Fireeye ont détecté des tentatives d'intrusion contre plusieurs industries, notamment le groupe de réflexion, l'application de la loi, les médias, les militaires américains, l'imagerie, le transport, la pharmaceutique, le gouvernement national et la contraction de défense.
Les tentatives concernaient un e-mail de phishing semblant provenir du département d'État américain avec des liens vers des fichiers zip contenant des raccourcis Windows malveillants qui ont livré une frappe de cobalt.
Artefacts techniques partagés;tactiques, techniques et procédures (TTPS);et cibler connectez cette activité à l'activité observée précédemment suspectée d'être APT29.
apt29
Introduction FireEye devices detected intrusion attempts against multiple industries, including think tank, law enforcement, media, U.S. military, imagery, transportation, pharmaceutical, national government, and defense contracting. The attempts involved a phishing email appearing to be from the U.S. Department of State with links to zip files containing malicious Windows shortcuts that delivered Cobalt Strike Beacon. Shared technical artifacts; tactics, techniques, and procedures (TTPs); and targeting connect this activity to previously observed activity suspected to be APT29. APT29 |
APT 29 APT 29 | ★★★★ | |
|
2018-11-14 20:00:00 | Mise à jour VM Flare FLARE VM Update (lien direct) |
Mise à jour (5 décembre 2022): La VM Flare a été mise à jour pour êtreplus ouvert et maintenable .
Flare VM est la première de son genre ingénierie de rétro-ingénierie et de distribution d'analyse des logiciels malveillants sur la plate-forme Windows.Puisque c'est Introduction En juillet 2017 , Flare VM a été constamment fiable et utilisée par de nombreux ingénieurs inverses, analystes de logiciels malveillants et chercheurs en sécurité comme environnement incontournable pour analyser les logiciels malveillants.Tout comme l'industrie de la sécurité en constante évolution, Flare VM a subi de nombreux changements majeurs pour mieux répondre aux besoins de nos utilisateurs.Flare VM a désormais un nouveau processus d'installation, de mise à niveau et de désinstallation
UPDATE (Dec. 5, 2022): FLARE VM has been updated to be more open and maintainable. FLARE VM is the first of its kind reverse engineering and malware analysis distribution on Windows platform. Since its introduction in July 2017, FLARE VM has been continuously trusted and used by many reverse engineers, malware analysts, and security researchers as their go-to environment for analyzing malware. Just like the ever-evolving security industry, FLARE VM has gone through many major changes to better support our users\' needs. FLARE VM now has a new installation, upgrade, and uninstallation process |
Malware | ★★★★ | |
|
2018-10-23 10:00:00 | Attribution de Triton: le laboratoire appartenant à un gouvernement russe a probablement construit des outils d'intrusion personnalisés pour les attaquants de Triton TRITON Attribution: Russian Government-Owned Lab Most Likely Built Custom Intrusion Tools for TRITON Attackers (lien direct) |
Présentation
Dans un article de blog précédent, nous avons détaillé l'intrusion de Triton qui a eu un impact sur les systèmes de contrôle industriel (ICS) dans une installation d'infrastructure critique.Nous suivons maintenant cet ensemble d'activités comme Temp.veles.Dans ce billet de blog, nous fournissons des informations supplémentaires reliant Temp.veles et leur activité entourant l'intrusion de Triton à un institut de recherche appartenant au gouvernement russe.
Triton Intrusion démontre des liens russes;Probablement soutenu par l'Institut de recherche russe
Le renseignement Fireeye évalue avec une grande confiance que l'activité d'intrusion qui a conduit au déploiement de Triton a été soutenue par le
Overview In a previous blog post we detailed the TRITON intrusion that impacted industrial control systems (ICS) at a critical infrastructure facility. We now track this activity set as TEMP.Veles. In this blog post we provide additional information linking TEMP.Veles and their activity surrounding the TRITON intrusion to a Russian government-owned research institute. TRITON Intrusion Demonstrates Russian Links; Likely Backed by Russian Research Institute FireEye Intelligence assesses with high confidence that intrusion activity that led to deployment of TRITON was supported by the |
Tool Industrial | ★★★★ | |
|
2018-10-11 09:30:00 | Tendances de sécurité tactique ICS: analyse des risques de sécurité les plus fréquents observés sur le terrain ICS Tactical Security Trends: Analysis of the Most Frequent Security Risks Observed in the Field (lien direct) |
Introduction
Fireeye Isight Intelligence a compilé des données approfondies à partir de dizaines d'Iscolys Assessment Engagements (ICS HealthCheck) effectué par l'équipe de conseil Mandiant, Fireeye \\, pour identifier les risques de sécurité prioritaires les plus omniprésents et les plus élevés dans les installations industrielles.Les informations ont été acquises à partir d'évaluations pratiques réalisées au cours des dernières années dans un large éventail d'industries, notamment la fabrication, l'exploitation minière, l'automobile, l'énergie, le produit chimique, le gaz naturel et les services publics.Dans cet article, nous fournissons des détails sur ces risques et indiquons les meilleures pratiques et
Introduction FireEye iSIGHT Intelligence compiled extensive data from dozens of ICS security health assessment engagements (ICS Healthcheck) performed by Mandiant, FireEye\'s consulting team, to identify the most pervasive and highest priority security risks in industrial facilities. The information was acquired from hands-on assessments carried out over the last few years across a broad range of industries, including manufacturing, mining, automotive, energy, chemical, natural gas, and utilities. In this post, we provide details of these risks, and indicate best practices and |
Industrial | ★★★★ | |
|
2018-10-05 07:00:00 | Solutions de défi Flare-on 2018 2018 Flare-On Challenge Solutions (lien direct) |
Nous sommes heureux d'annoncer la conclusion du cinquième défi annuel.Les chiffres sont entrés et nous pouvons dire en toute sécurité que c'était de loin le défi le plus difficile que nous ayons jamais organisé.Nous prévoyons de réduire la difficulté de l'année prochaine, il se peut donc que les 114 personnes qui ont résolu cette année \\ \\ aient résolu non seulement la poussée la plus difficile à ce jour, mais la poussée la plus difficile qui soit.Le prix de ces ingénieurs inverses incroyables et dédiés est une boucle de décodeur magique et un insert de pièces.Il peut être utilisé pour décoder et coder des messages secrètes à l'aide d'une clé pré-partagée.Il est basé sur
We are pleased to announce the conclusion of the fifth annual Flare-On Challenge. The numbers are in and we can safely say that this was by far the most difficult challenge we\'ve ever hosted. We plan to reduce the difficulty next year, so it may be that the 114 people who solved this year\'s challenge solved not only the most difficult Flare-On to date, but the most difficult Flare-On there ever will be. The prize for these amazing and dedicated Reverse Engineers is a magic decoder buckle and coin insert. It can be used to decode and encode secret messages using a pre-shared key. It is based on |
★★★★ | ||
|
2018-10-03 07:00:00 | APT38: Détails sur le nouveau groupe de menaces soutenu par le régime nord-coréen APT38: Details on New North Korean Regime-Backed Threat Group (lien direct) |
Aujourd'hui, nous publions des détails sur un un groupe avancé de menace persistante qui, selon nous, est responsable de la conduite d'un crime financierAu nom du régime nord-coréen, volant des millions de dollars aux banques dans le monde.Le groupe est particulièrement agressif;Ils utilisent régulièrement des logiciels malveillants destructeurs pour rendre les réseaux de victimes inopérables après le vol.Plus important encore, les efforts diplomatiques, y compris la récente plainte du ministère de la Justice (DOJ) qui ont décrit l'attribution à la Corée du Nord, n'ont jusqu'à présent pas mis fin à leur activité.Nous appelons ce groupe apt38.
nous publions un
Today, we are releasing details on a advanced persistent threat group that we believe is responsible for conducting financial crime on behalf of the North Korean regime, stealing millions of dollars from banks worldwide. The group is particularly aggressive; they regularly use destructive malware to render victim networks inoperable following theft. More importantly, diplomatic efforts, including the recent Department of Justice (DOJ) complaint that outlined attribution to North Korea, have thus far failed to put an end to their activity. We are calling this group APT38. We are releasing a |
Malware Threat | APT 38 APT 38 | ★★★★ |
|
2018-09-20 11:30:00 | Utilisation accrue d'un packer Delphi pour échapper à la classification des logiciels malveillants Increased Use of a Delphi Packer to Evade Malware Classification (lien direct) |
Introduction
Le concept de «emballage» ou de «crypter» un programme malveillant est très populaire parmi les acteurs de la menace qui cherchent à contourner ou à vaincre l'analyse par des outils d'analyse statique et dynamique.L'évasion de la classification et de la détection est une course aux armements dans laquelle les nouvelles techniques sont échangées et utilisées dans la nature.Par exemple, nous observons de nombreux services de rattachement offerts dans les forums souterrains par des acteurs qui prétendent faire des logiciels malveillants "FUD" ou "entièrement indétectables" par des technologies antivirus, des bacs de sable et d'autres solutions de point final.Nous constatons également un effort accru pour modéliser l'activité des utilisateurs normaux et le référence
Introduction The concept of "packing" or "crypting" a malicious program is widely popular among threat actors looking to bypass or defeat analysis by static and dynamic analysis tools. Evasion of classification and detection is an arms race in which new techniques are traded and used in the wild. For example, we observe many crypting services being offered in underground forums by actors who claim to make any malware "FUD" or "Fully Undetectable" by anti-virus technologies, sandboxes and other endpoint solutions. We also see an increased effort to model normal user activity and baseline it |
Malware Threat | ★★★★ | |
|
2018-09-19 05:00:00 | Cliquez dessus: cibler les portails de paiement du gouvernement local Click It Up: Targeting Local Government Payment Portals (lien direct) |
FireEye a suivi une campagne cette année en ciblant les portails de paiement Web qui impliquent des installations sur site de Click2Gov. click2gov est une solution logicielle Bill-Pay interactive et en ligne interactive développée par Superion.Il comprend divers modules qui permettent aux utilisateurs de payer des factures associées à divers services gouvernementaux locaux tels que les services publics, les permis de construction et les licences commerciales.En octobre 2017, Superion a publié une déclaration confirmant une activité suspecte a affecté un petit nombre de clients.À la mi-juin 2018, de nombreux rapports de médias ont fait référence au moins sept click2gov
FireEye has been tracking a campaign this year targeting web payment portals that involves on-premise installations of Click2Gov. Click2Gov is a web-based, interactive self-service bill-pay software solution developed by Superion. It includes various modules that allow users to pay bills associated with various local government services such as utilities, building permits, and business licenses. In October 2017, Superion released a statement confirming suspicious activity had affected a small number of customers. In mid-June 2018, numerous media reports referenced at least seven Click2Gov |
★★★ | ||
|
2018-09-13 11:00:00 | APT10 ciblant les sociétés japonaises à l'aide de TTPS mis à jour APT10 Targeting Japanese Corporations Using Updated TTPs (lien direct) |
Introduction
En juillet 2018, les appareils FireEye ont détecté et bloqué ce qui semble être une activité APT10 (Menupass) ciblant le secteur des médias japonais.APT10 est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009, et ils ont une histoire de ciblant les entités japonaises .
Dans cette campagne, le groupe a envoyé des e-mails de phishing de lance contenant des documents malveillants qui ont conduit à l'installation de la porte dérobée Uppercut.Cette porte dérobée est bien connue dans la communauté de la sécurité comme Anel , et il venait en bêta ou en RC (candidat à la libération) jusqu'à récemment.Une partie de cet article de blog discutera du
Introduction In July 2018, FireEye devices detected and blocked what appears to be APT10 (Menupass) activity targeting the Japanese media sector. APT10 is a Chinese cyber espionage group that FireEye has tracked since 2009, and they have a history of targeting Japanese entities. In this campaign, the group sent spear phishing emails containing malicious documents that led to the installation of the UPPERCUT backdoor. This backdoor is well-known in the security community as ANEL, and it used to come in beta or RC (release candidate) until recently. Part of this blog post will discuss the |
Technical | APT 10 APT 10 | ★★★★ |
|
2018-09-06 10:00:00 | Kit d'exploitation de Fallout utilisé dans la campagne de malvertising pour livrer des ransomwares gandcrab Fallout Exploit Kit Used in Malvertising Campaign to Deliver GandCrab Ransomware (lien direct) |
Vers la fin du mois d'août 2018, Fireeye a identifié un nouveau kit d'exploitation (EK) qui était servi dans le cadre d'une campagne de malvertising affectant les utilisateurs au Japon, en Corée, au Moyen-Orient, en Europe du Sud et dans d'autres pays d'AsieRégion du Pacifique.
La première instance de la campagne a été observée le 24 août 2018, sur le domaine finalCountDown [.] GQ.Les chercheurs basés à Tokyo «NAO_SEC» ont identifié une instance de cette campagne le 29 août, et dans leur propre article de blog, ils se réfèrent à l'exploit kit comme Fallout Exploit Kit .Dans le cadre de nos recherches, nous avons observé des domaines, régions et charges utiles supplémentaires
Towards the end of August 2018, FireEye identified a new exploit kit (EK) that was being served up as part of a malvertising campaign affecting users in Japan, Korea, the Middle East, Southern Europe, and other countries in the Asia Pacific region. The first instance of the campaign was observed on Aug. 24, 2018, on the domain finalcountdown[.]gq. Tokyo-based researchers “nao_sec” identified an instance of this campaign on Aug. 29, and in their own blog post they refer to the exploit kit as Fallout Exploit Kit. As part of our research, we observed additional domains, regions, and payloads |
Ransomware | ★★★★ | |
|
2018-08-21 18:30:00 | L'opération d'influence iranienne suspectée exploite le réseau de sites d'information inauthentiques et de médias sociaux ciblant le public aux États-Unis, au Royaume-Uni, en Amérique latine, au Moyen-Orient Suspected Iranian Influence Operation Leverages Network of Inauthentic News Sites & Social Media Targeting Audiences in U.S., UK, Latin America, Middle East (lien direct) |
Fireeye a identifié une opération d'influence suspectée qui semble provenir de l'Iran destiné aux publics aux États-Unis, au Royaume-Uni, en Amérique latine et au Moyen-Orient.Cette opération tire parti d'un réseau de sites d'information inauthentiques et de groupes de comptes associés sur plusieurs plateformes de médias sociaux pour promouvoir les récits politiques conformément aux intérêts iraniens.Ces récits comprennent des thèmes anti-Saudi, anti-israéliens et pro-palestiniens, ainsi que le soutien à des politiques américaines spécifiques favorables à l'Iran, comme l'accord nucléaire américain de l'Iran (JCPOA).L'activité que nous avons découverte est
FireEye has identified a suspected influence operation that appears to originate from Iran aimed at audiences in the U.S., U.K., Latin America, and the Middle East. This operation is leveraging a network of inauthentic news sites and clusters of associated accounts across multiple social media platforms to promote political narratives in line with Iranian interests. These narratives include anti-Saudi, anti-Israeli, and pro-Palestinian themes, as well as support for specific U.S. policies favorable to Iran, such as the U.S.-Iran nuclear deal (JCPOA). The activity we have uncovered is |
★★★★ | ||
|
2018-08-01 12:00:00 | Sur la chasse à FIN7: poursuivre une opération criminelle mondiale énigmatique et évasive On the Hunt for FIN7: Pursuing an Enigmatic and Evasive Global Criminal Operation (lien direct) |
Le 1er août 2018, le Office du procureur des États-Unis pour le district ouest de Washington Les actes d'accusation non scellés et ont annoncé l'arrestation de trois personnes dans les rangs de direction d'une organisation criminelle qui s'aligne sur l'activité que nous avons suivie depuis 2015comme fin7.Ces acteurs malveillants sont membres de l'un des groupes de menaces financières les plus prolifiques de cette décennie, ayant des attaques soigneusement créées ciblées dans plus de 100 organisations.Fin7 est appelé par de nombreux vendeurs comme «groupe Carbanak», bien que nous n'asquivons pas toute utilisation de la porte dérobée de Carbanak à FIN7.Ce
On Aug. 1, 2018, the United States District Attorney\'s Office for the Western District of Washington unsealed indictments and announced the arrests of three individuals within the leadership ranks of a criminal organization that aligns with activity we have tracked since 2015 as FIN7. These malicious actors are members of one of the most prolific financial threat groups of this decade, having carefully crafted attacks targeted at more than 100 organizations. FIN7 is referred to by many vendors as “Carbanak Group,” although we do not equate all usage of the CARBANAK backdoor with FIN7. This |
Threat | ★★★★ | |
|
2018-07-31 08:01:01 | Malwareguard: modèle d'apprentissage automatique de Fireeye \\ pour détecter et prévenir les logiciels malveillants MalwareGuard: FireEye\\'s Machine Learning Model to Detect and Prevent Malware (lien direct) |
La mission de Fireeye \\ est de protéger sans relâche nos clients et leurs données avec une technologie et une expertise innovantes apprises des premières lignes des cyberattaques.Lorsqu'il s'agit de protéger les points de terminaison de notre client, Fireeye Endpoint Security a aidéPour créer le marché de la détection et de la réponse (EDR) (EDR) et est un leader de l'industrie.Au cours de la dernière année, nous avons considérablement élargi la portée de la sécurité des points de terminaison par Intégration de la protection anti-virus (AV) .La fonctionnalité AV a ajouté la prévention des logiciels malveillants à notre suite de détection existante, qui comprend le exploitguard Exploitguard Détection comportementale
FireEye\'s mission is to relentlessly protect our customers and their data with innovative technology and expertise learned from the front lines of cyber attacks. When it comes to protecting our customer\'s endpoints, FireEye Endpoint Security has helped to create the endpoint detection and response (EDR) market and is an industry leader. Over the past year, we have significantly broadened the scope of Endpoint Security by integrating anti-virus (AV) protection. The AV functionality added malware prevention to our existing detection suite, which includes the ExploitGuard behavioral detection |
Malware | ★★★★ | |
|
2018-07-18 09:00:00 | (Déjà vu) Comment la montée des crypto-monnaies façonne le paysage de la cybercriminalité: la croissance des mineurs How the Rise of Cryptocurrencies Is Shaping the Cyber Crime Landscape: The Growth of Miners (lien direct) |
Introduction
Les cybercriminels ont tendance à favoriser les crypto-monnaies car elles fournissent un certain niveau d'anonymat et peuvent être facilement monétisées.Cet intérêt a augmenté ces dernières années, dépassant bien au-delà du désir d'utiliser simplement les crypto-monnaies comme mode de paiement pour les outils et services illicites.De nombreux acteurs ont également tenté de tirer parti de la popularité croissante des crypto-monnaies et de la hausse des prix ultérieurs, en menant diverses opérations qui leur sont destinées.Ces opérations comprennent l'exploitation malveillante de crypto-monnaie (également appelée cryptojacking), la collection de crypto-monnaie
Introduction Cyber criminals tend to favor cryptocurrencies because they provide a certain level of anonymity and can be easily monetized. This interest has increased in recent years, stemming far beyond the desire to simply use cryptocurrencies as a method of payment for illicit tools and services. Many actors have also attempted to capitalize on the growing popularity of cryptocurrencies, and subsequent rising price, by conducting various operations aimed at them. These operations include malicious cryptocurrency mining (also referred to as cryptojacking), the collection of cryptocurrency |
Tool | ★★★★ | |
|
2018-07-10 11:00:00 | Détection de PowerShell malveillant via l'apprentissage automatique Malicious PowerShell Detection via Machine Learning (lien direct) |
Introduction
Les vendeurs et chercheurs de la cybersécurité ont rapporté depuis des années comment PowerShell est utilisé par les acteurs de cyber-menaces pour installer des déambulations, Exécuter du code malveillant , et atteignent autrement leurs objectifs au sein des entreprises.La sécurité est un jeu de chat et de souris entre les adversaires, les chercheurs et les équipes bleues.La flexibilité et la capacité de PowerShell ont rendu la détection conventionnelle à la fois difficile et critique.Ce billet de blog illustrera comment FireEye tire parti de l'intelligence artificielle et de l'apprentissage automatique pour augmenter la barre des adversaires qui utilisent PowerShell.
dans ce post
Introduction Cyber security vendors and researchers have reported for years how PowerShell is being used by cyber threat actors to install backdoors, execute malicious code, and otherwise achieve their objectives within enterprises. Security is a cat-and-mouse game between adversaries, researchers, and blue teams. The flexibility and capability of PowerShell has made conventional detection both challenging and critical. This blog post will illustrate how FireEye is leveraging artificial intelligence and machine learning to raise the bar for adversaries that use PowerShell. In this post |
Threat Technical | ★★★★ | |
|
2018-07-10 07:00:00 | Le groupe d'espionnage chinois Temp.Periscope cible le Cambodge avant les élections de juillet 2018 et révèle de larges opérations à l'échelle mondiale Chinese Espionage Group TEMP.Periscope Targets Cambodia Ahead of July 2018 Elections and Reveals Broad Operations Globally (lien direct) |
Introduction
Fireeye a examiné une gamme d'activités de périccope révélant un intérêt étendu pour la politique du Cambodge \\, avec des compromis actifs de plusieurs entités cambodgiennes liées au système électoral du pays.Cela comprend les compromis des entités gouvernementales cambodgienes chargées de superviser les élections, ainsi que le ciblage des chiffres de l'opposition.Cette campagne se déroule dans la mise en ligne vers les élections générales du 29 juillet 2018 du pays.Temp.Periscope a utilisé la même infrastructure pour une gamme d'activités contre d'autres cibles plus traditionnelles, y compris la base industrielle de la défense
Introduction FireEye has examined a range of TEMP.Periscope activity revealing extensive interest in Cambodia\'s politics, with active compromises of multiple Cambodian entities related to the country\'s electoral system. This includes compromises of Cambodian government entities charged with overseeing the elections, as well as the targeting of opposition figures. This campaign occurs in the run up to the country\'s July 29, 2018, general elections. TEMP.Periscope used the same infrastructure for a range of activity against other more traditional targets, including the defense industrial base |
Industrial | APT 40 | ★★★★ |
|
2018-06-18 10:45:00 | Apportez votre propre terre (BYOL) & # 8211;Une nouvelle technique d'équipe rouge Bring Your Own Land (BYOL) – A Novel Red Teaming Technique (lien direct) |
Introduction
L'un des développements récents les plus importants dans les opérations offensives sophistiquées est l'utilisation des techniques de «vivre hors terre» (LOTL) par les attaquants.Ces techniques exploitent des outils légitimes présents sur le système, tels que le langage de script PowerShell, afin d'exécuter des attaques.La popularité de PowerShell en tant qu'outil offensif a abouti au développement de cadres d'équipe rouge entiers basés autour de lui, tels que Empire et Powerspoit .De plus, l'exécution de PowerShell peut être obscurcie grâce à l'utilisation d'outils tels que « invoke-obfuscation ».En réponse, les défenseurs
Introduction One of most significant recent developments in sophisticated offensive operations is the use of “Living off the Land” (LotL) techniques by attackers. These techniques leverage legitimate tools present on the system, such as the PowerShell scripting language, in order to execute attacks. The popularity of PowerShell as an offensive tool culminated in the development of entire Red Team frameworks based around it, such as Empire and PowerSploit. In addition, the execution of PowerShell can be obfuscated through the use of tools such as “Invoke-Obfuscation”. In response, defenders |
Tool Technical | ★★★★ | |
|
2018-06-07 09:00:00 | Un traité totalement tubulaire sur Triton et Tristation A Totally Tubular Treatise on TRITON and TriStation (lien direct) |
Introduction
En décembre 2017, Fireeye \'s mandiant a discuté d'une réponse incidente impliquant le framework .L'attaque de Triton et bon nombre des intrusions de CI sur les ICS impliquaient des techniques de routine où les acteurs de la menace n'utilisaient que ce qui est nécessaire pour réussir dans leur mission.Pour Industryer et Triton, les attaquants sont passés du réseau informatique vers le réseau OT (technologie opérationnelle) à travers des systèmes accessibles aux deux environnements.Bargades de logiciels malveillants traditionnels, distillats Mimikatz, sessions de bureau à distance et autres attaques bien documentées et facilement détectées
Introduction In December 2017, FireEye\'s Mandiant discussed an incident response involving the TRITON framework. The TRITON attack and many of the publicly discussed ICS intrusions involved routine techniques where the threat actors used only what is necessary to succeed in their mission. For both INDUSTROYER and TRITON, the attackers moved from the IT network to the OT (operational technology) network through systems that were accessible to both environments. Traditional malware backdoors, Mimikatz distillates, remote desktop sessions, and other well-documented, easily-detected attack |
Malware Threat Industrial | ★★★★ | |
|
2018-06-05 11:30:00 | Ingénierie inverse L'analyste: construire des modèles d'apprentissage automatique pour le SOC Reverse Engineering the Analyst: Building Machine Learning Models for the SOC (lien direct) |
De nombreux cyber-incidents peuvent être retracés à une alerte originale qui a été manquée ou ignorée par le centre d'opérations de sécurité (SOC) ou l'équipe de réponse aux incidents (IR).Alors que la plupart des analystes et SOC sont vigilants et réactifs, le fait est qu'ils sont souvent submergés d'alertes.Si un SOC est incapable de revoir toutes les alertes qu'elle génère, alors ou tard, quelque chose d'important passera à travers les mailles du filet.
Le problème de base ici est l'évolutivité.Il est beaucoup plus facile de créer plus d'alertes que de créer plus d'analystes, et l'industrie de la cybersécurité est bien meilleure dans la génération d'alertes que la résolution
Many cyber incidents can be traced back to an original alert that was either missed or ignored by the Security Operations Center (SOC) or Incident Response (IR) team. While most analysts and SOCs are vigilant and responsive, the fact is they are often overwhelmed with alerts. If a SOC is unable to review all the alerts it generates, then sooner or later, something important will slip through the cracks. The core issue here is scalability. It is far easier to create more alerts than to create more analysts, and the cyber security industry is far better at alert generation than resolution |
★★★★ | ||
|
2018-05-29 12:00:00 | Outil d'authentification à distance de géofaisabilité - Geologonalyzer Remote Authentication GeoFeasibility Tool - GeoLogonalyzer (lien direct) |
Les utilisateurs ont longtemps besoin pour accéder aux ressources importantes telles que les réseaux privés virtuels (VPN), les applications Web et les serveurs de courrier de n'importe où dans le monde à tout moment.Bien que la capacité d'accéder à des ressources de n'importe où soit impérative pour les employés, les acteurs de la menace tirent souvent parti des informations d'identification volées pour accéder aux systèmes et aux données.En raison de grands volumes de connexions d'accès à distance, il peut être difficile de faire la distinction entre une connexion légitime et malveillante.
Aujourd'hui, nous sortons Geologonalyzer pour aider les organisations à analyser les journaux pour identifier les connexions malveillantes basées sur la géofasibilité;par exemple
Users have long needed to access important resources such as virtual private networks (VPNs), web applications, and mail servers from anywhere in the world at any time. While the ability to access resources from anywhere is imperative for employees, threat actors often leverage stolen credentials to access systems and data. Due to large volumes of remote access connections, it can be difficult to distinguish between a legitimate and a malicious login. Today, we are releasing GeoLogonalyzer to help organizations analyze logs to identify malicious logins based on GeoFeasibility; for example |
Tool Threat | ★★★★ | |
|
2018-05-21 10:15:00 | Éclairer une lumière sur les abus d'oauth avec pwnauth Shining a Light on OAuth Abuse with PwnAuth (lien direct) |
Introduction
Les attaques de phishing de lance sont considérées comme l'une des plus grandes cyber-menaces d'une organisation.Il ne faut qu'un seul employé pour saisir ses informations d'identification ou exécuter des logiciels malveillants pour qu'une organisation entière soit compromise.En tant que telles, les entreprises consacrent des ressources importantes à la prévention de la récolte des diplômes et des attaques d'ingénierie sociale axées sur la charge utile.Moins d'attention, cependant, a été accordée à une méthode non traditionnelle, mais tout aussi dangereuse d'ingénierie sociale: l'abus d'Oauth.Dans une attaque Aauths Abuse, une victime autorise une demande de tiers pour accéder à leur compte.Une fois autorisé
Introduction Spear phishing attacks are seen as one of the biggest cyber threats to an organization. It only takes one employee to enter their credentials or run some malware for an entire organization to become compromised. As such, companies devote significant resources to preventing credential harvesting and payload-driven social engineering attacks. Less attention, however, has been paid to a non-traditional, but just as dangerous, method of social engineering: OAuth abuse. In an OAuth abuse attack, a victim authorizes a third-party application to access their account. Once authorized |
Malware Technical | ★★★★ | |
|
2018-05-14 08:00:00 | Une plongée profonde dans le kit d'exploitation de la plate-forme livrant Grobios Trojan A Deep Dive Into RIG Exploit Kit Delivering Grobios Trojan (lien direct) |
Comme discuté dans les blogs précédents, l'activité du kit d'exploit est en baisse depuis la seconde moitié de 2016. Cependant, nous observons toujours périodiquement des développements importants dans cet espace, et nous avons observé une activité continue intéressante impliquant un kit d'exploitation de plate-forme (Ek).Bien que le volume de son trafic observé dans les fenêtres ait été en baisse, le gréement reste actif, avec un large éventail de charges utiles Crimeware associées.
Dans cette récente découverte, Rig Ek a été observé en train de livrer un Troie nommé Grobios.Ce billet de blog discutera de ce Troie en profondeur en mettant l'accent sur son évasion et
As discussed in previous blogs, exploit kit activity has been on the decline since the latter half of 2016. However, we do still periodically observe significant developments in this space, and we have been observing interesting ongoing activity involving RIG Exploit Kit (EK). Although the volume of its traffic observed in-the-wild has been on the decline, RIG EK remains active, with a wide range of associated crimeware payloads. In this recent finding, RIG EK was observed delivering a Trojan named Grobios. This blog post will discuss this Trojan in depth with a focus on its evasion and |
★★★★ | ||
|
2018-05-04 10:00:00 | Roomer un Logitech Harmony Hub: Amélioration de la sécurité dans le monde ioT de aujourd'hui \\ Rooting a Logitech Harmony Hub: Improving Security in Today\\'s IoT World (lien direct) |
Introduction
L'équipe rouge de Fireeye \\ de Fireeye \\ a récemment découvert des vulnérabilités présentes sur l'appareil Logitech Harmony Hub Internet of Things (IoT) qui pourrait potentiellement être exploité, ce qui entraîne un accès racine à l'appareil via SSH.Le Harmony Hub est un système de contrôle domestique conçu pour se connecter et contrôler une variété d'appareils dans la maison de l'utilisateur \\.L'exploitation de ces vulnérabilités à partir du réseau local pourrait permettre à un attaquant de contrôler les appareils liés au concentrateur et d'utiliser le concentrateur comme espace d'exécution pour attaquer d'autres appareils sur le réseau local.Comme la liste des périphériques Harmony Hub
Introduction FireEye\'s Mandiant Red Team recently discovered vulnerabilities present on the Logitech Harmony Hub Internet of Things (IoT) device that could potentially be exploited, resulting in root access to the device via SSH. The Harmony Hub is a home control system designed to connect to and control a variety of devices in the user\'s home. Exploitation of these vulnerabilities from the local network could allow an attacker to control the devices linked to the Hub as well as use the Hub as an execution space to attack other devices on the local network. As the Harmony Hub device list |
Vulnerability | ★★★★ | |
|
2018-04-26 11:15:00 | Établir une base de référence pour le protocole de bureau à distance Establishing a Baseline for Remote Desktop Protocol (lien direct) |
Pour le personnel informatique et les utilisateurs de Power Windows, Microsoft Terminal Services Remote Desktop Protocol (RDP) est un outil bénéfique qui permet le Interactive Utilisation ou administration d'un système Windows distant.Cependant, les consultants Mandiant ont également observé des acteurs de menace utilisant le RDP, avec des informations d'identification de domaine compromises, pour se déplacer latéralement sur les réseaux avec une segmentation limitée.
Pour comprendre comment les acteurs de la menace profitent du RDP, considérez l'exemple suivant (et figure 1):
Un membre du personnel du département des ressources humaines travaillant sur son bureau inadvertant une porte dérobée malveillante de
For IT staff and Windows power users, Microsoft Terminal Services Remote Desktop Protocol (RDP) is a beneficial tool that allows for the interactive use or administration of a remote Windows system. However, Mandiant consultants have also observed threat actors using RDP, with compromised domain credentials, to move laterally across networks with limited segmentation. To understand how threat actors take advantage of RDP, consider the following example (and Figure 1): A staff member from the HR department working on his or her desktop inadvertently installs a malicious backdoor by |
Tool Threat | ★★★★ | |
|
2018-04-23 10:00:00 | Chargement de code de coquille du noyau Loading Kernel Shellcode (lien direct) |
Dans le sillage des récents décharges d'outils de piratage, l'équipe Flare a vu un pic dans des échantillons de logiciels malveillants détonant le shellcode du noyau.Bien que la plupart des échantillons puissent être analysés statiquement, l'équipe Flare débogue parfois ces échantillons pour confirmer des fonctionnalités spécifiques.Le débogage peut être un moyen efficace de contourner l'emballage ou l'obscurcissement et d'identifier rapidement les structures, les routines système et les processus auxquels un échantillon de shellcode de noyau accéde.
Ce message commence une série centrée sur l'analyse des logiciels du noyau et présente un outil qui utilise un pilote de noyau Windows personnalisé pour charger et exécuter le noyau Windows
In the wake of recent hacking tool dumps, the FLARE team saw a spike in malware samples detonating kernel shellcode. Although most samples can be analyzed statically, the FLARE team sometimes debugs these samples to confirm specific functionality. Debugging can be an efficient way to get around packing or obfuscation and quickly identify the structures, system routines, and processes that a kernel shellcode sample is accessing. This post begins a series centered on kernel software analysis, and introduces a tool that uses a custom Windows kernel driver to load and execute Windows kernel |
Malware Tool Technical | ★★★★ | |
|
2018-04-18 01:00:00 | Comment la montée des crypto-monnaies façonne le paysage de la cybercriminalité: utilisation des infrastructures de blockchain How the Rise of Cryptocurrencies Is Shaping the Cyber Crime Landscape: Blockchain Infrastructure Use (lien direct) |
Mise à jour (31 mai 2018): Une section de la publication sur les IPS OpenNIC couramment utilisées a été supprimée pour éviter toute implication selon laquelle les IPS OpenNIC sont intrinsèquement malveillants, ce qui n'est pas le cas.
Introduction
Les cybercriminels ont toujours été attirés par les crypto-monnaies car il fournit un certain niveau d'anonymat et peut être facilement monétisé.Cet intérêt a augmenté ces dernières années, dépassant bien au-delà du désir d'utiliser simplement les crypto-monnaies comme mode de paiement pour les outils et services illicites.De nombreux acteurs ont également tenté de capitaliser sur la popularité croissante et la montée en puissance ultérieure
UPDATE (May 31, 2018): A section of the post on commonly used OpenNIC IPs has been removed to avoid any implication that the OpenNIC IPs are inherently malicious, which is not the case. Introduction Cyber criminals have always been attracted to cryptocurrencies because it provides a certain level of anonymity and can be easily monetized. This interest has increased in recent years, stemming far beyond the desire to simply use cryptocurrencies as a payment method for illicit tools and services. Many actors have also attempted to capitalize on the growing popularity and subsequent rising |
Tool | ★★★★ | |
|
2018-04-05 10:00:00 | Fake Software Update Abuses NetSupport Tool à distance Fake Software Update Abuses NetSupport Remote Access Tool (lien direct) |
Au cours des derniers mois, FireEye a suivi une campagne dans la fenêtre qui exploite des sites compromis pour répartir les fausses mises à jour.Dans certains cas, la charge utile était l'outil d'accès à distance (RAT) du gestionnaire Netsupport.Netsupport Manager est un rat disponible dans le commerce qui peut être utilisé légitimement par les administrateurs système pour accéder à distance aux ordinateurs clients.Cependant, les acteurs malveillants abusent de cette application en l'installant aux systèmes des victimes à leur insu pour obtenir un accès non autorisé à leurs machines.Ce blog détaille notre analyse du javascript et des composants utilisés dans
Over the last few months, FireEye has tracked an in-the-wild campaign that leverages compromised sites to spread fake updates. In some cases, the payload was the NetSupport Manager remote access tool (RAT). NetSupport Manager is a commercially available RAT that can be used legitimately by system administrators for remotely accessing client computers. However, malicious actors are abusing this application by installing it to the victims\' systems without their knowledge to gain unauthorized access to their machines. This blog details our analysis of the JavaScript and components used in |
Tool Technical | ★★★★ | |
|
2018-03-22 10:45:00 | Dosfuscation: Exploration des profondeurs des techniques d'obscuscations et de détection CMD.exe DOSfuscation: Exploring the Depths of Cmd.exe Obfuscation and Detection Techniques (lien direct) |
Les attaquants qualifiés recherchent continuellement de nouveaux vecteurs d'attaque, tout en utilisant des techniques d'évasion pour maintenir l'efficacité des anciens vecteurs, dans un paysage défensif en constante évolution.Beaucoup de ces acteurs de menace utilisent des cadres d'obscurcissement pour les langages de script communs tels que JavaScript et PowerShell pour contrecarrer les détections de commerce offensive communes écrites dans ces langues.
Cependant, à mesure que les défenseurs de la visibilité dans ces langages de script populaires augmentent grâce à une meilleure journalisation et à des outils défensifs, certains attaquants furtifs ont déplacé leur métier vers les langues
Skilled attackers continually seek out new attack vectors, while employing evasion techniques to maintain the effectiveness of old vectors, in an ever-changing defensive landscape. Many of these threat actors employ obfuscation frameworks for common scripting languages such as JavaScript and PowerShell to thwart signature-based detections of common offensive tradecraft written in these languages. However, as defenders\' visibility into these popular scripting languages increases through better logging and defensive tooling, some stealthy attackers have shifted their tradecraft to languages |
Threat Technical | ★★★★ | |
|
2018-03-15 23:00:00 | Group de cyber-espionnage chinois suspecté (Temp.Periscope) ciblant les industries de l'ingénierie américaine et maritime Suspected Chinese Cyber Espionage Group (TEMP.Periscope) Targeting U.S. Engineering and Maritime Industries (lien direct) |
Les intrusions se concentrent sur le secteur de l'ingénierie et de la maritime
Depuis le début de 2018, Fireeye (y compris notre Fireeye as a Service (FAAS), Mandiant Consulting et Isight Intelligence Teams) a suivi une vague continue d'intrusions ciblant les entités d'ingénierie et de maritime, en particulier celles liées aux problèmes de la mer de Chine méridionale.La campagne est liée à un groupe d'acteurs de cyber-espionnage chinois présumés que nous avons suivis depuis 2013, surnommé Temp.Periscope.Le groupe a également été signalé comme « Leviathan ”par d'autres sociétés de sécurité.
La campagne actuelle est une forte escalade de l'activité détectée
Intrusions Focus on the Engineering and Maritime Sector Since early 2018, FireEye (including our FireEye as a Service (FaaS), Mandiant Consulting, and iSIGHT Intelligence teams) has been tracking an ongoing wave of intrusions targeting engineering and maritime entities, especially those connected to South China Sea issues. The campaign is linked to a group of suspected Chinese cyber espionage actors we have tracked since 2013, dubbed TEMP.Periscope. The group has also been reported as “Leviathan” by other security firms. The current campaign is a sharp escalation of detected activity |
APT 40 | ★★★★ | |
|
2018-03-13 11:15:00 | Le groupe iranien des menaces met à jour les tactiques, les techniques et les procédures dans la campagne de phishing de lance Iranian Threat Group Updates Tactics, Techniques and Procedures in Spear Phishing Campaign (lien direct) |
Introduction
De janvier 2018 à mars 2018, grâce à l'intelligence dynamique des menaces dynamique de Fireeye, nous avons observé que les attaquants tiraient parti des dernières techniques d'exécution et de persistance de code pour distribuer des documents macro malveillants aux individus en Asie et au Moyen-Orient.>
Nous attribuons cette activité à Temp.zagros (rapportée par Palo Alto Networks et Trend Micro En tant que Muddywater), un acteur Iran-Nexus qui est actif depuis au moins mai 2017. Cet acteur s'est engagé dans le phishing prolifique de la lance des entités gouvernementales et de défense en Asie centrale et du Sud-Ouest.Les e-mails de phishing de lance et
Introduction From January 2018 to March 2018, through FireEye\'s Dynamic Threat Intelligence, we observed attackers leveraging the latest code execution and persistence techniques to distribute malicious macro-based documents to individuals in Asia and the Middle East. We attribute this activity to TEMP.Zagros (reported by Palo Alto Networks and Trend Micro as MuddyWater), an Iran-nexus actor that has been active since at least May 2017. This actor has engaged in prolific spear phishing of government and defense entities in Central and Southwest Asia. The spear phishing emails and |
Threat | ★★★★ | |
|
2018-02-20 13:30:00 | APT37 (Reaper): l'acteur nord-coréen négligé APT37 (Reaper): The Overlooked North Korean Actor (lien direct) |
Le 2 février 2018, nous avons publié un Blog détaillant l'utilisation d'une vulnérabilité Adobe Flash Zero-Day (CVE-2018-4878) par un groupe de cyber-espionnage nord-coréen présumé que nous suivons maintenant comme APT37 (Reaper).
Notre analyse de l'activité récente d'APT37 \\ révèle que les opérations du groupe \\ se développent en portée et en sophistication, avec un ensemble d'outils qui comprend l'accès aux vulnérabilités zéro-jour et aux logiciels malveillants d'essuie-glace.Nous évaluons avec une grande confiance que cette activité est réalisée au nom du gouvernement nord-coréen compte tenu des artefacts de développement de logiciels malveillants et ciblant qui s'aligne sur l'État nord-coréen
On Feb. 2, 2018, we published a blog detailing the use of an Adobe Flash zero-day vulnerability (CVE-2018-4878) by a suspected North Korean cyber espionage group that we now track as APT37 (Reaper). Our analysis of APT37\'s recent activity reveals that the group\'s operations are expanding in scope and sophistication, with a toolset that includes access to zero-day vulnerabilities and wiper malware. We assess with high confidence that this activity is carried out on behalf of the North Korean government given malware development artifacts and targeting that aligns with North Korean state |
Malware Vulnerability | APT 37 APT 37 | ★★★★ |
|
2018-02-15 16:30:00 | CVE-2017-10271 Utilisé pour livrer des cryptomineurs: un aperçu des techniques utilisées après l'exploitation et la pré-mine CVE-2017-10271 Used to Deliver CryptoMiners: An Overview of Techniques Used Post-Exploitation and Pre-Mining (lien direct) |
Introduction
Les chercheurs de Fireeye ont récemment observé des acteurs de menace abusant CVE-2017-10271 pour livrer divers mineurs de crypto-monnaie.
CVE-2017-10271 est une vulnérabilité de validation d'entrée connue qui existe dans le Service de sécurité WebLogic Server (WLS Security) dans Oracle Weblogic Server Versions 12.2.1.2.0 et avant, et les attaquants peuvent l'exploiter pour exécuter à distance le code arbitraire.Oracle a publié un mise à jour critique du patch qui aurait fixé cette vulnérabilité.Les utilisateurs qui n'ont pas corrigé leurs systèmes peuvent se retrouver à miner la crypto-monnaie pour les acteurs de la menace.
Fireeye a observé un volume élevé
Introduction FireEye researchers recently observed threat actors abusing CVE-2017-10271 to deliver various cryptocurrency miners. CVE-2017-10271 is a known input validation vulnerability that exists in the WebLogic Server Security Service (WLS Security) in Oracle WebLogic Server versions 12.2.1.2.0 and prior, and attackers can exploit it to remotely execute arbitrary code. Oracle released a Critical Patch Update that reportedly fixes this vulnerability. Users who failed to patch their systems may find themselves mining cryptocurrency for threat actors. FireEye observed a high volume |
Vulnerability Threat | ★★★★ | |
|
2018-02-07 16:45:00 | Reelphish: un outil de phishing à deux facteurs en temps réel ReelPhish: A Real-Time Two-Factor Phishing Tool (lien direct) |
Ingénierie sociale et authentification à deux facteurs
Les campagnes d'ingénierie sociale sont une menace constante pour les entreprises car elles ciblent la chaîne la plus faible de la sécurité: les gens.Une attaque typique capturerait le nom d'utilisateur et le mot de passe d'une victime et le stockerait pour qu'un attaquant puisse réutiliser plus tard.L'authentification à deux facteurs (2FA) ou l'authentification multi-facteurs (MFA) est couramment considérée comme une solution à ces menaces.
2FA ajoute une couche supplémentaire d'authentification en plus du nom d'utilisateur et du mot de passe typiques.Deux implémentations 2FA courantes sont des mots de passe unique et des notifications push.Les mots de passe uniques sont
Social Engineering and Two-Factor Authentication Social engineering campaigns are a constant threat to businesses because they target the weakest chain in security: people. A typical attack would capture a victim\'s username and password and store it for an attacker to reuse later. Two-Factor Authentication (2FA) or Multi-Factor Authentication (MFA) is commonly seen as a solution to these threats. 2FA adds an extra layer of authentication on top of the typical username and password. Two common 2FA implementations are one-time passwords and push notifications. One-time passwords are |
Tool Threat Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
