What's new arround internet
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
 |
2024-04-25 10:00:00 | Pole Voûte: cyber-menaces aux élections mondiales Poll Vaulting: Cyber Threats to Global Elections (lien direct) |
Written by: Kelli Vanderlee, Jamie Collier
Executive Summary The election cybersecurity landscape globally is characterized by a diversity of targets, tactics, and threats. Elections attract threat activity from a variety of threat actors including: state-sponsored actors, cyber criminals, hacktivists, insiders, and information operations as-a-service entities. Mandiant assesses with high confidence that state-sponsored actors pose the most serious cybersecurity risk to elections. Operations targeting election-related infrastructure can combine cyber intrusion activity, disruptive and destructive capabilities, and information operations, which include elements of public-facing advertisement and amplification of threat activity claims. Successful targeting does not automatically translate to high impact. Many threat actors have struggled to influence or achieve significant effects, despite their best efforts. When we look across the globe we find that the attack surface of an election involves a wide variety of entities beyond voting machines and voter registries. In fact, our observations of past cycles indicate that cyber operations target the major players involved in campaigning, political parties, news and social media more frequently than actual election infrastructure. Securing elections requires a comprehensive understanding of many types of threats and tactics, from distributed denial of service (DDoS) to data theft to deepfakes, that are likely to impact elections in 2024. It is vital to understand the variety of relevant threat vectors and how they relate, and to ensure mitigation strategies are in place to address the full scope of potential activity. Election organizations should consider steps to harden infrastructure against common attacks, and utilize account security tools such as Google\'s Advanced Protection Program to protect high-risk accounts. Introduction The 2024 global election cybersecurity landscape is characterized by a diversity of targets, tactics, and threats. An expansive ecosystem of systems, administrators, campaign infrastructure, and public communications venues must be secured against a diverse array of operators and methods. Any election cybersecurity strategy should begin with a survey of the threat landscape to build a more proactive and tailored security posture. The cybersecurity community must keep pace as more than two billion voters are expected to head to the polls in 2024. With elections in more than an estimated 50 countries, there is an opportunity to dynamically track how threats to democracy evolve. Understanding how threats are targeting one country will enable us to better anticipate and prepare for upcoming elections globally. At the same time, we must also appreciate the unique context of different countries. Election threats to South Africa, India, and the United States will inevitably differ in some regard. In either case, there is an opportunity for us to prepare with the advantage of intelligence. |
Ransomware Malware Hack Tool Vulnerability Threat Legislation Cloud Technical | APT 40 APT 29 APT 28 APT 43 APT 31 APT 42 | ★★★ |
|
2024-03-26 22:00:00 | Tendances les jours zéro exploités dans le monde en 2023 Trends on Zero-Days Exploited In-the-Wild in 2023 (lien direct) |
Written by: Maddie Stone, Jared Semrau, James Sadowski
Combined data from Google\'s Threat Analysis Group (TAG) and Mandiant shows 97 zero-day vulnerabilities were exploited in 2023; a big increase over the 62 zero-day vulnerabilities identified in 2022, but still less than 2021\'s peak of 106 zero-days. This finding comes from the first-ever joint zero-day report by TAG and Mandiant. The report highlights 2023 zero-day trends, with focus on two main categories of vulnerabilities. The first is end user platforms and products such as mobile devices, operating systems, browsers, and other applications. The second is enterprise-focused technologies such as security software and appliances. Key zero-day findings from the report include: Vendors\' security investments are working, making certain attacks harder. Attacks increasingly target third-party components, affecting multiple products. Enterprise targeting is rising, with more focus on security software and appliances. Commercial surveillance vendors lead browser and mobile device exploits. People\'s Republic of China (PRC) remains the top state-backed exploiter of zero-days. Financially-motivated attacks proportionally decreased. Threat actors are increasingly leveraging zero-days, often for the purposes of evasion and persistence, and we don\'t expect this activity to decrease anytime soon. Progress is being made on all fronts, but zero-day vulnerabilities remain a major threat. A Look Back - 2023 Zero-Day Activity at a Glance Barracuda ESG: CVE-2023-2868 Barracuda disclosed in May 2023 that a zero-day vulnerability (CVE-2023-2868) in their Email Security Gateway (ESG) had been actively exploited since as early as October 2022. Mandiant investigated and determined that UNC4841, a suspected Chinese cyber espionage actor, was conducting attacks across multiple regions and sectors as part of an espionage campaign in support of the PRC. Mandiant released a blog post with findings from the initial investigation, a follow-up post with more details as the investigation continued |
Vulnerability Threat Mobile Cloud Technical | ★★ | |
|
2024-03-22 00:00:00 | APT29 Uses WINELOADER to Target German Political Parties (lien direct) | Written by: Luke Jenkins, Dan Black
Executive Summary In late February, APT29 used a new backdoor variant publicly tracked as WINELOADER to target German political parties with a CDU-themed lure. This is the first time we have seen this APT29 cluster target political parties, indicating a possible area of emerging operational focus beyond the typical targeting of diplomatic missions. Based on the SVR\'s responsibility to collect political intelligence and this APT29 cluster\'s historical targeting patterns, we judge this activity to present a broad threat to European and other Western political parties from across the political spectrum. Please see the Technical Annex for technical details and MITRE ATT&CK techniques, (T1543.003, T1012, T1082, T1134, T1057, T1007, T1027, T1070.004, T1055.003 and T1083) Threat Detail In late February 2024, Mandiant identified APT29 - a Russian Federation backed threat group linked by multiple governments to Russia\'s Foreign Intelligence Service (SVR) - conducting a phishing campaign targeting German political parties. Consistent with APT29 operations extending back to 2021, this operation leveraged APT29\'s mainstay first-stage payload ROOTSAW (aka EnvyScout) to deliver a new backdoor variant publicly tracked as WINELOADER. Notably, this activity represents a departure from this APT29 initial access cluster\'s typical remit of targeting governments, foreign embassies, and other diplomatic missions, and is the first time Mandiant has seen an operational interest in political parties from this APT29 subcluster. Additionally, while APT29 has previously used lure documents bearing the logo of German government organizations, this is the first instance where we have seen the group use German-language lure content - a possible artifact of the targeting differences (i.e. domestic vs. foreign) between the two operations. Phishing emails were sent to victims purporting to be an invite to a dinner reception on 01 March bearing a logo from the Christian Democratic Union (CDU), a major political party in Germany (see Figure 1). The German-language lure document contains a phishing link directing victims to a malicious ZIP file containing a ROOTSAW dropper hosted on an actor-controlled compromised website “https://waterforvoiceless[.]org/invite.php”. ROOTSAW delivered a second-stage CDU-themed lure document and a next stage WINELOADER payload retrieved from “waterforvoiceless[.]org/util.php”. WINELOADER was first observed in operational use in late January 2024 in an operation targeting likely diplomatic entities in Czechia, Germany, India, Italy, Latvia, and Peru. The backdoor contains several features and functions that overlap with several known APT29 malware families including BURNTBATTER, MUSKYBEAT and BEATDROP, indicating they are likely created by a common developer (see Technical Annex for additional details). |
Malware Threat Cloud Technical | APT 29 | ★★★ |
|
2023-12-13 17:00:00 | Floss pour gophers et crabes: extraire les chaînes de go et les exécutables de rouille FLOSS for Gophers and Crabs: Extracting Strings from Go and Rust Executables (lien direct) |
 Le paysage évolutif du développement de logiciels a introduit de nouveaux langages de programmation comme Go et Rust.Les binaires compilés à partir de ces langues fonctionnent différemment aux programmes classiques (C / C ++) et remettent en question de nombreux outils d'analyse conventionnels.Pour soutenir l'analyse statique des exécutables GO et Rust, la soie dentaire extrait désormais les chaînes de programme à l'aide d'algorithmes améliorés.Où les algorithmes d'extraction traditionnels fournissent un composé et une sortie de chaîne déroutante récupèrent les chaînes individuelles de go et de rouille telles qu'elles sont utilisées dans un programme. Pour commencer à utiliser le fil de fil Téléchargez l'un des binaires autonomesDe notre releas
 The evolving landscape of software development has introduced new programming languages like Go and Rust. Binaries compiled from these languages work differently to classic (C/C++) programs and challenge many conventional analysis tools. To support the static analysis of Go and Rust executables, FLOSS now extracts program strings using enhanced algorithms. Where traditional extraction algorithms provide compound and confusing string output FLOSS recovers the individual Go and Rust strings as they are used in a program.To start using FLOSS download one of the standalone binaries from our releas |
Tool Technical | ★★★★ | |
|
2021-07-19 13:00:00 | capa 2.0: mieux, plus fort, plus rapide capa 2.0: Better, Stronger, Faster (lien direct) |
Nous sommes ravis d'annoncer la version 2.0 de notre outil open source appelé CAPA.CAPA identifie automatiquement les capacités des programmes à l'aide d'un ensemble de règles extensible.L'outil prend en charge à la fois le triage de logiciels malveillants et l'ingénierie inverse de plongée profonde.Si vous avez déjà entendu parler de capa ou si vous avez besoin d'un rafraîchissement, consultez notre First BlogPost .Vous pouvez télécharger des binaires autonomes CAPA 2.0 à partir de la Page de publication et de vérifier le code source sur github .
CAPA 2.0 permet à quiconque de contribuer des règles plus facilement, ce qui rend l'écosystème existant encore plus dynamique.Ce billet de blog détaille le major suivant
We are excited to announce version 2.0 of our open-source tool called capa. capa automatically identifies capabilities in programs using an extensible rule set. The tool supports both malware triage and deep dive reverse engineering. If you haven\'t heard of capa before, or need a refresher, check out our first blog post. You can download capa 2.0 standalone binaries from the project\'s release page and checkout the source code on GitHub. capa 2.0 enables anyone to contribute rules more easily, which makes the existing ecosystem even more vibrant. This blog post details the following major |
Malware Tool Technical | ★★★★ | |
|
2020-11-19 19:00:00 | VBA purgalicious: obscurcissement macro avec purge de VBA Purgalicious VBA: Macro Obfuscation With VBA Purging (lien direct) |
Les documents de bureau malveillants restent une technique préférée pour chaque type d'acteur de menace, des Teamers Red aux groupes FIN en passant par APTS.Dans cet article de blog, nous discuterons de "Purging VBA", une technique que nous avons de plus en plus observée dans la nature et c'était d'abord Documé publiquement par Didier Stevens en février 2020 .Nous expliquerons comment VBA Purging fonctionne avec les documents Microsoft Office au format binaire de fichiers composés (CFBF), partagez certaines opportunités de détection et de chasse et introduire un nouvel outil créé par l'équipe rouge de Mandiant \\: officepurge .
Format de fichier MS-OVBA
Avant de plonger dans la purge VBA, c'est
Malicious Office documents remain a favorite technique for every type of threat actor, from red teamers to FIN groups to APTs. In this blog post, we will discuss "VBA Purging", a technique we have increasingly observed in the wild and that was first publicly documented by Didier Stevens in February 2020. We will explain how VBA purging works with Microsoft Office documents in Compound File Binary Format (CFBF), share some detection and hunting opportunities, and introduce a new tool created by Mandiant\'s Red Team: OfficePurge. MS-OVBA File Format Before diving into VBA Purging, it is |
Tool Threat Technical | ★★★★ | |
|
2019-01-08 16:00:00 | Cireging the Past: Windows Registry Forensics Revisited Digging Up the Past: Windows Registry Forensics Revisited (lien direct) |
Introduction
Les consultants FireEye utilisent fréquemment les données du registre Windows lors de l'exécution de l'analyse médico-légale des réseaux informatiques dans le cadre des missions d'évaluation des incidents et de compromis.Cela peut être utile pour découvrir une activité malveillante et déterminer quelles données peuvent avoir été volées à un réseau.De nombreux types de données différents sont présents dans le registre qui peuvent fournir des preuves de l'exécution du programme, des paramètres d'application, de la persistance des logiciels malveillants et d'autres artefacts précieux.
L'analyse médico-légale des attaques passées peut être particulièrement difficile.Menace persistante avancée
Introduction FireEye consultants frequently utilize Windows registry data when performing forensic analysis of computer networks as part of incident response and compromise assessment missions. This can be useful to discover malicious activity and to determine what data may have been stolen from a network. Many different types of data are present in the registry that can provide evidence of program execution, application settings, malware persistence, and other valuable artifacts. Performing forensic analysis of past attacks can be particularly challenging. Advanced persistent threat |
Malware Technical | ★★★★ | |
|
2018-09-13 11:00:00 | APT10 ciblant les sociétés japonaises à l'aide de TTPS mis à jour APT10 Targeting Japanese Corporations Using Updated TTPs (lien direct) |
Introduction
En juillet 2018, les appareils FireEye ont détecté et bloqué ce qui semble être une activité APT10 (Menupass) ciblant le secteur des médias japonais.APT10 est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009, et ils ont une histoire de ciblant les entités japonaises .
Dans cette campagne, le groupe a envoyé des e-mails de phishing de lance contenant des documents malveillants qui ont conduit à l'installation de la porte dérobée Uppercut.Cette porte dérobée est bien connue dans la communauté de la sécurité comme Anel , et il venait en bêta ou en RC (candidat à la libération) jusqu'à récemment.Une partie de cet article de blog discutera du
Introduction In July 2018, FireEye devices detected and blocked what appears to be APT10 (Menupass) activity targeting the Japanese media sector. APT10 is a Chinese cyber espionage group that FireEye has tracked since 2009, and they have a history of targeting Japanese entities. In this campaign, the group sent spear phishing emails containing malicious documents that led to the installation of the UPPERCUT backdoor. This backdoor is well-known in the security community as ANEL, and it used to come in beta or RC (release candidate) until recently. Part of this blog post will discuss the |
Technical | APT 10 APT 10 | ★★★★ |
|
2018-07-10 11:00:00 | Détection de PowerShell malveillant via l'apprentissage automatique Malicious PowerShell Detection via Machine Learning (lien direct) |
Introduction
Les vendeurs et chercheurs de la cybersécurité ont rapporté depuis des années comment PowerShell est utilisé par les acteurs de cyber-menaces pour installer des déambulations, Exécuter du code malveillant , et atteignent autrement leurs objectifs au sein des entreprises.La sécurité est un jeu de chat et de souris entre les adversaires, les chercheurs et les équipes bleues.La flexibilité et la capacité de PowerShell ont rendu la détection conventionnelle à la fois difficile et critique.Ce billet de blog illustrera comment FireEye tire parti de l'intelligence artificielle et de l'apprentissage automatique pour augmenter la barre des adversaires qui utilisent PowerShell.
dans ce post
Introduction Cyber security vendors and researchers have reported for years how PowerShell is being used by cyber threat actors to install backdoors, execute malicious code, and otherwise achieve their objectives within enterprises. Security is a cat-and-mouse game between adversaries, researchers, and blue teams. The flexibility and capability of PowerShell has made conventional detection both challenging and critical. This blog post will illustrate how FireEye is leveraging artificial intelligence and machine learning to raise the bar for adversaries that use PowerShell. In this post |
Threat Technical | ★★★★ | |
|
2018-06-18 10:45:00 | Apportez votre propre terre (BYOL) & # 8211;Une nouvelle technique d'équipe rouge Bring Your Own Land (BYOL) – A Novel Red Teaming Technique (lien direct) |
Introduction
L'un des développements récents les plus importants dans les opérations offensives sophistiquées est l'utilisation des techniques de «vivre hors terre» (LOTL) par les attaquants.Ces techniques exploitent des outils légitimes présents sur le système, tels que le langage de script PowerShell, afin d'exécuter des attaques.La popularité de PowerShell en tant qu'outil offensif a abouti au développement de cadres d'équipe rouge entiers basés autour de lui, tels que Empire et Powerspoit .De plus, l'exécution de PowerShell peut être obscurcie grâce à l'utilisation d'outils tels que « invoke-obfuscation ».En réponse, les défenseurs
Introduction One of most significant recent developments in sophisticated offensive operations is the use of “Living off the Land” (LotL) techniques by attackers. These techniques leverage legitimate tools present on the system, such as the PowerShell scripting language, in order to execute attacks. The popularity of PowerShell as an offensive tool culminated in the development of entire Red Team frameworks based around it, such as Empire and PowerSploit. In addition, the execution of PowerShell can be obfuscated through the use of tools such as “Invoke-Obfuscation”. In response, defenders |
Tool Technical | ★★★★ | |
|
2018-05-21 10:15:00 | Éclairer une lumière sur les abus d'oauth avec pwnauth Shining a Light on OAuth Abuse with PwnAuth (lien direct) |
Introduction
Les attaques de phishing de lance sont considérées comme l'une des plus grandes cyber-menaces d'une organisation.Il ne faut qu'un seul employé pour saisir ses informations d'identification ou exécuter des logiciels malveillants pour qu'une organisation entière soit compromise.En tant que telles, les entreprises consacrent des ressources importantes à la prévention de la récolte des diplômes et des attaques d'ingénierie sociale axées sur la charge utile.Moins d'attention, cependant, a été accordée à une méthode non traditionnelle, mais tout aussi dangereuse d'ingénierie sociale: l'abus d'Oauth.Dans une attaque Aauths Abuse, une victime autorise une demande de tiers pour accéder à leur compte.Une fois autorisé
Introduction Spear phishing attacks are seen as one of the biggest cyber threats to an organization. It only takes one employee to enter their credentials or run some malware for an entire organization to become compromised. As such, companies devote significant resources to preventing credential harvesting and payload-driven social engineering attacks. Less attention, however, has been paid to a non-traditional, but just as dangerous, method of social engineering: OAuth abuse. In an OAuth abuse attack, a victim authorizes a third-party application to access their account. Once authorized |
Malware Technical | ★★★★ | |
|
2018-04-23 10:00:00 | Chargement de code de coquille du noyau Loading Kernel Shellcode (lien direct) |
Dans le sillage des récents décharges d'outils de piratage, l'équipe Flare a vu un pic dans des échantillons de logiciels malveillants détonant le shellcode du noyau.Bien que la plupart des échantillons puissent être analysés statiquement, l'équipe Flare débogue parfois ces échantillons pour confirmer des fonctionnalités spécifiques.Le débogage peut être un moyen efficace de contourner l'emballage ou l'obscurcissement et d'identifier rapidement les structures, les routines système et les processus auxquels un échantillon de shellcode de noyau accéde.
Ce message commence une série centrée sur l'analyse des logiciels du noyau et présente un outil qui utilise un pilote de noyau Windows personnalisé pour charger et exécuter le noyau Windows
In the wake of recent hacking tool dumps, the FLARE team saw a spike in malware samples detonating kernel shellcode. Although most samples can be analyzed statically, the FLARE team sometimes debugs these samples to confirm specific functionality. Debugging can be an efficient way to get around packing or obfuscation and quickly identify the structures, system routines, and processes that a kernel shellcode sample is accessing. This post begins a series centered on kernel software analysis, and introduces a tool that uses a custom Windows kernel driver to load and execute Windows kernel |
Malware Tool Technical | ★★★★ | |
|
2018-04-05 10:00:00 | Fake Software Update Abuses NetSupport Tool à distance Fake Software Update Abuses NetSupport Remote Access Tool (lien direct) |
Au cours des derniers mois, FireEye a suivi une campagne dans la fenêtre qui exploite des sites compromis pour répartir les fausses mises à jour.Dans certains cas, la charge utile était l'outil d'accès à distance (RAT) du gestionnaire Netsupport.Netsupport Manager est un rat disponible dans le commerce qui peut être utilisé légitimement par les administrateurs système pour accéder à distance aux ordinateurs clients.Cependant, les acteurs malveillants abusent de cette application en l'installant aux systèmes des victimes à leur insu pour obtenir un accès non autorisé à leurs machines.Ce blog détaille notre analyse du javascript et des composants utilisés dans
Over the last few months, FireEye has tracked an in-the-wild campaign that leverages compromised sites to spread fake updates. In some cases, the payload was the NetSupport Manager remote access tool (RAT). NetSupport Manager is a commercially available RAT that can be used legitimately by system administrators for remotely accessing client computers. However, malicious actors are abusing this application by installing it to the victims\' systems without their knowledge to gain unauthorized access to their machines. This blog details our analysis of the JavaScript and components used in |
Tool Technical | ★★★★ | |
|
2018-03-22 10:45:00 | Dosfuscation: Exploration des profondeurs des techniques d'obscuscations et de détection CMD.exe DOSfuscation: Exploring the Depths of Cmd.exe Obfuscation and Detection Techniques (lien direct) |
Les attaquants qualifiés recherchent continuellement de nouveaux vecteurs d'attaque, tout en utilisant des techniques d'évasion pour maintenir l'efficacité des anciens vecteurs, dans un paysage défensif en constante évolution.Beaucoup de ces acteurs de menace utilisent des cadres d'obscurcissement pour les langages de script communs tels que JavaScript et PowerShell pour contrecarrer les détections de commerce offensive communes écrites dans ces langues.
Cependant, à mesure que les défenseurs de la visibilité dans ces langages de script populaires augmentent grâce à une meilleure journalisation et à des outils défensifs, certains attaquants furtifs ont déplacé leur métier vers les langues
Skilled attackers continually seek out new attack vectors, while employing evasion techniques to maintain the effectiveness of old vectors, in an ever-changing defensive landscape. Many of these threat actors employ obfuscation frameworks for common scripting languages such as JavaScript and PowerShell to thwart signature-based detections of common offensive tradecraft written in these languages. However, as defenders\' visibility into these popular scripting languages increases through better logging and defensive tooling, some stealthy attackers have shifted their tradecraft to languages |
Threat Technical | ★★★★ | |
|
2018-02-07 16:45:00 | Reelphish: un outil de phishing à deux facteurs en temps réel ReelPhish: A Real-Time Two-Factor Phishing Tool (lien direct) |
Ingénierie sociale et authentification à deux facteurs
Les campagnes d'ingénierie sociale sont une menace constante pour les entreprises car elles ciblent la chaîne la plus faible de la sécurité: les gens.Une attaque typique capturerait le nom d'utilisateur et le mot de passe d'une victime et le stockerait pour qu'un attaquant puisse réutiliser plus tard.L'authentification à deux facteurs (2FA) ou l'authentification multi-facteurs (MFA) est couramment considérée comme une solution à ces menaces.
2FA ajoute une couche supplémentaire d'authentification en plus du nom d'utilisateur et du mot de passe typiques.Deux implémentations 2FA courantes sont des mots de passe unique et des notifications push.Les mots de passe uniques sont
Social Engineering and Two-Factor Authentication Social engineering campaigns are a constant threat to businesses because they target the weakest chain in security: people. A typical attack would capture a victim\'s username and password and store it for an attacker to reuse later. Two-Factor Authentication (2FA) or Multi-Factor Authentication (MFA) is commonly seen as a solution to these threats. 2FA adds an extra layer of authentication on top of the typical username and password. Two common 2FA implementations are one-time passwords and push notifications. One-time passwords are |
Tool Threat Technical | ★★★★ | |
|
2018-01-04 16:30:00 | Débogage de logiciels malveillants complexes qui exécutent du code sur le tas Debugging Complex Malware that Executes Code on the Heap (lien direct) |
Introduction
Dans ce blog, je partagerai une simple tactique de débogage pour créer des «points de sauvegarde» lors du débogage à distance itératif d'échantillons à plusieurs étages complexes qui exécutent du code dans la mémoire du tas à des adresses non déterministes.Je partagerai deux exemples: l'un artificiel, et l'autre un échantillon de logiciel malveillant modulaire complexe (MD5 Hash: 830A09FF05EAC9A5F42897BA5176A36A) d'une famille que nous appelons PoisonPlug.Je me concentrerai sur IDA Pro et Windbg, mais j'expliquerai comment réaliser le même effet avec d'autres outils.Avec cette tactique, vous pouvez également remettre l'exécution du programme entre plusieurs débuggeurs en utilisant
Introduction In this blog, I will share a simple debugging tactic for creating “save points” during iterative remote debugging of complex multi-stage samples that execute code in heap memory at non-deterministic addresses. I\'ll share two examples: one contrived, and the other a complex, modular malware sample (MD5 hash: 830a09ff05eac9a5f42897ba5176a36a) from a family that we call POISONPLUG. I will focus on IDA Pro and WinDbg, but I\'ll explain how to achieve the same effect with other tools as well. With this tactic, you can also hand off program execution between multiple debuggers using |
Malware Tool Technical | ★★★★ | |
|
2017-12-14 15:00:00 | Les attaquants déploient un nouveau cadre d'attaque ICS «Triton» et provoquent une perturbation opérationnelle des infrastructures critiques Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure (lien direct) |
Introduction
mandiant a récemment répondu à un incident dans une organisation d'infrastructure critique où un attaquant a déployé des logiciels malveillants conçus pour manipuler les systèmes de sécurité industrielle.Les systèmes ciblés ont fourni une capacité d'arrêt d'urgence pour les processus industriels.Nous évaluons avec une confiance modérée que l'attaquant développait la capacité de causer des dommages physiques et des opérations d'arrêt par inadvertance.Ce logiciel malveillant, que nous appelons Triton, est un cadre d'attaque conçu pour interagir avec les contrôleurs de système instrumentés de sécurité Triconex (SIS).Nous n'avons pas attribué l'incident à un
Introduction Mandiant recently responded to an incident at a critical infrastructure organization where an attacker deployed malware designed to manipulate industrial safety systems. The targeted systems provided emergency shutdown capability for industrial processes. We assess with moderate confidence that the attacker was developing the capability to cause physical damage and inadvertently shutdown operations. This malware, which we call TRITON, is an attack framework built to interact with Triconex Safety Instrumented System (SIS) controllers. We have not attributed the incident to a |
Malware Industrial Technical | ★★★★ | |
|
2017-07-05 10:00:00 | Présentation de la prise en charge de Linux pour Fakennet-NG: outil d'analyse de réseau dynamique de Next Generation de Flare \\ Introducing Linux Support for FakeNet-NG: FLARE\\'s Next Generation Dynamic Network Analysis Tool (lien direct) |
Introduction
En 2016, Flare a présenté FAKENET-NG , un ouvert-Source Outil d'analyse de réseau écrite en python.Fakennet-NG permet aux analystes de sécurité d'observer et d'interagir avec les applications réseau à l'aide de protocoles standard ou personnalisés sur un seul hôte Windows, ce qui est particulièrement utile pour l'analyse des logiciels malveillants et l'ingénierie inverse.Depuis la version de Fakennet-NG \\, Flare a ajouté le support pour des protocoles supplémentaires.Fakennet-ng a maintenant une prise en charge prête à l'emploi pour DNS, HTTP (y compris les bits), FTP, TFTP, IRC, SMTP, POP, TCP et UDP ainsi que SSL.
En s'appuyant sur ce travail, Flare a maintenant amené Fakennet-NG à
Introduction In 2016, FLARE introduced FakeNet-NG, an open-source network analysis tool written in Python. FakeNet-NG allows security analysts to observe and interact with network applications using standard or custom protocols on a single Windows host, which is especially useful for malware analysis and reverse engineering. Since FakeNet-NG\'s release, FLARE has added support for additional protocols. FakeNet-NG now has out-of-the-box support for DNS, HTTP (including BITS), FTP, TFTP, IRC, SMTP, POP, TCP, and UDP as well as SSL. Building on this work, FLARE has now brought FakeNet-NG to |
Malware Tool Technical | ★★★★ | |
|
2017-06-30 18:00:00 | L'obscurcissement dans la nature: les attaquants ciblés ouvrent la voie dans les techniques d'évasion Obfuscation in the Wild: Targeted Attackers Lead the Way in Evasion Techniques (lien direct) |
Tout au long de 2017, nous avons observé une augmentation marquée de l'utilisation de l'évasion de la ligne de commande et de l'obscurcissement par une gamme d'attaquants ciblés.Les groupes de cyber-espionnage et les acteurs de la menace financière continuent d'adopter les dernières techniques de contournement de la liste blanche de l'application de pointe et d'introduire une obscurcissement innovant dans leurs leurres de phishing.Ces techniques contournent souvent les méthodes d'analyse statique et dynamique et mettent en évidence pourquoi la détection basée sur la signature sera toujours au moins un pas en retard des attaquants créatifs.
Début 2017, Fin8 a commencé à utiliser des variables d'environnement associées à la capacité de PowerShell \\
Throughout 2017 we have observed a marked increase in the use of command line evasion and obfuscation by a range of targeted attackers. Cyber espionage groups and financial threat actors continue to adopt the latest cutting-edge application whitelisting bypass techniques and introduce innovative obfuscation into their phishing lures. These techniques often bypass static and dynamic analysis methods and highlight why signature-based detection alone will always be at least one step behind creative attackers. In early 2017, FIN8 began using environment variables paired with PowerShell\'s ability |
Threat Technical | ★★★★ | |
|
2017-06-12 10:00:00 | Derrière la porte dérobée de Carbanak Behind the CARBANAK Backdoor (lien direct) |
Dans ce blog, nous examinerons de plus près la porte dérobée puissante et polyvalente connue sous le nom de Carbanak (alias anunak ).Plus précisément, nous nous concentrerons sur les détails opérationnels de son utilisation au cours des dernières années, y compris sa configuration, les variations mineures observées d'un échantillon à l'autre et de son évolution.Avec ces détails, nous tirerons ensuite des conclusions sur les opérateurs de Carbanak.Pour quelques antécédents supplémentaires sur la porte dérobée de Carbanak, consultez les papiers de Kaspersky et Group-Ib et Fox-it.
Analyse technique
Avant de plonger dans la viande de ce blog, une brève analyse technique du
In this blog, we will take a closer look at the powerful, versatile backdoor known as CARBANAK (aka Anunak). Specifically, we will focus on the operational details of its use over the past few years, including its configuration, the minor variations observed from sample to sample, and its evolution. With these details, we will then draw some conclusions about the operators of CARBANAK. For some additional background on the CARBANAK backdoor, see the papers by Kaspersky and Group-IB and Fox-It. Technical Analysis Before we dive into the meat of this blog, a brief technical analysis of the |
Technical | ★★★★ | |
|
2017-05-26 10:00:00 | SMB exploité: utilisation de Wannacry de "Eternalblue" SMB Exploited: WannaCry Use of "EternalBlue" (lien direct) |
Server Message Block (SMB) est le protocole de transport utilisé par les machines Windows à une grande variété de fins telles que le partage de fichiers, le partage d'imprimantes et l'accès aux services Windows distants.SMB fonctionne sur les ports TCP 139 et 445. En avril 2017, Shadow Brokers a publié une vulnérabilité SMB nommée "EternalBlue", qui faisait partie du Microsoft Security Bulletin MS17-010 .
le récent wannacry ransomware profite de cette vulnérabilité pour compromettre les machines Windows, charger les logiciels malveillants et propageraux autres machines d'un réseau.L'attaque utilise les version 1 SMB et le port TCP 445 pour se propager.
con
Server Message Block (SMB) is the transport protocol used by Windows machines for a wide variety of purposes such as file sharing, printer sharing, and access to remote Windows services. SMB operates over TCP ports 139 and 445. In April 2017, Shadow Brokers released an SMB vulnerability named “EternalBlue,” which was part of the Microsoft security bulletin MS17-010. The recent WannaCry ransomware takes advantage of this vulnerability to compromise Windows machines, load malware, and propagate to other machines in a network. The attack uses SMB version 1 and TCP port 445 to propagate. Con |
Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-23 12:30:00 | Profil de logiciel malveillant Wannacry WannaCry Malware Profile (lien direct) |
MALWARE WANNACRY (également connu sous le nom de WCRY ou WANACRYPTOR) est un ransomware d'auto-propagation (semblable à des vers) qui se propage dans les réseaux internes et sur Internet public en exploitant une vulnérabilité dans le bloc de messages du serveur de Microsoft \\ (SMB)Protocole, MS17-010.Le wannacry se compose de deux composants distincts, unqui fournit des fonctionnalités de ransomware et un composant utilisé pour la propagation, qui contient des fonctionnalités pour permettre les capacités d'exploitation des SMB.
Le malware exploite un exploit, nommé «EternalBlue», publié par les Shadow Brokers le 14 avril 2017.
le
WannaCry (also known as WCry or WanaCryptor) malware is a self-propagating (worm-like) ransomware that spreads through internal networks and over the public internet by exploiting a vulnerability in Microsoft\'s Server Message Block (SMB) protocol, MS17-010. The WannaCry malware consists of two distinct components, one that provides ransomware functionality and a component used for propagation, which contains functionality to enable SMB exploitation capabilities. The malware leverages an exploit, codenamed “EternalBlue”, that was released by the Shadow Brokers on April 14, 2017. The |
Ransomware Malware Vulnerability Technical | Wannacry | ★★★★ |
|
2017-05-09 12:00:00 | EPS Traitement des jours zéro exploités par plusieurs acteurs de menace EPS Processing Zero-Days Exploited by Multiple Threat Actors (lien direct) |
En 2015, FireEye a publié des détails sur deux attaques exploitant les vulnérabilités dans PostScript encapsulé (EPS) de Microsoft Office.L'un était un zéro-day Et l'un était Patched des semaines avant le lancement de l'attaque.
Récemment, Fireeye a identifié trois nouvelles vulnérabilités de zéro-jours dans les produits Microsoft Office qui sont exploités dans la nature.
Fin mars 2017, nous avons détecté un autre document malveillant tirant parti d'une vulnérabilité inconnue dans l'EPS et un récemment Potted Vulnérabilité dans Windows Graphics Device Interface (GDI) pour supprimer les logiciels malveillants.Après le patch d'avril 2017 mardi, dans lequel
In 2015, FireEye published details about two attacks exploiting vulnerabilities in Encapsulated PostScript (EPS) of Microsoft Office. One was a zero-day and one was patched weeks before the attack launched. Recently, FireEye identified three new zero-day vulnerabilities in Microsoft Office products that are being exploited in the wild. At the end of March 2017, we detected another malicious document leveraging an unknown vulnerability in EPS and a recently patched vulnerability in Windows Graphics Device Interface (GDI) to drop malware. Following the April 2017 Patch Tuesday, in which |
Vulnerability Threat Technical | ★★★★ | |
|
2017-05-03 15:30:00 | À SDB, ou à ne pas SDB: FIN7 tirant parti des bases de données de cale pour la persistance To SDB, Or Not To SDB: FIN7 Leveraging Shim Databases for Persistence (lien direct) |
En 2017, Mandiant a répondu à plusieurs incidents que nous attribuons à FIN7, un groupe de menaces à motivation financière associé à des opérations malveillantes remontant à 2015. Dans les différents environnements, FIN7 a tiré parti de la porte arrière de Carbanak, que ce groupe a utilisé dans les opérations précédentes.
Un aspect unique des incidents était de savoir comment le groupe a installé la porte dérobée de Carbanak pour un accès persistant.Mandiant a identifié que le groupe a exploité une base de données de cale d'application pour atteindre la persistance sur les systèmes dans plusieurs environnements.Le cale a injecté un patch en mémoire malveillant dans les services
In 2017, Mandiant responded to multiple incidents we attribute to FIN7, a financially motivated threat group associated with malicious operations dating back to 2015. Throughout the various environments, FIN7 leveraged the CARBANAK backdoor, which this group has used in previous operations. A unique aspect of the incidents was how the group installed the CARBANAK backdoor for persistent access. Mandiant identified that the group leveraged an application shim database to achieve persistence on systems in multiple environments. The shim injected a malicious in-memory patch into the Services |
Threat Technical | ★★★★ | |
|
2017-04-24 09:30:00 | FIN7 Evolution et le phishing LNK FIN7 Evolution and the Phishing LNK (lien direct) |
FIN7 est un groupe de menaces motivé financièrement qui a été associé à des opérations malveillantes datant de fin 2015. FIN7 est appelée de nombreux vendeurs de «groupe Carbanak», bien que nous n'asquivons pas toute utilisation de la porte dérobée de Carbanak à FIN7.Fireeye a récemment observé un Campagne de phishing de lance FIN7 Ciblage du personnel impliqué dans les dossiers de Securities and Exchange Commission (SEC) des États-Unis dans diverses organisations.
Dans une campagne nouvellement identifiée, FIN7 a modifié leurs techniques de phishing pour mettre en œuvre des mécanismes d'infection et de persistance uniques.Fin7 s'est éloigné de l'armement
FIN7 is a financially-motivated threat group that has been associated with malicious operations dating back to late 2015. FIN7 is referred to by many vendors as “Carbanak Group”, although we do not equate all usage of the CARBANAK backdoor with FIN7. FireEye recently observed a FIN7 spear phishing campaign targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. In a newly-identified campaign, FIN7 modified their phishing techniques to implement unique infection and persistence mechanisms. FIN7 has moved away from weaponized |
Threat Technical | ★★★★ | |
|
2017-04-11 12:30:00 | CVE-2017-0199: Dans les attaques sauvages, tirant parti du gestionnaire HTA CVE-2017-0199: In the Wild Attacks Leveraging HTA Handler (lien direct) |
Fireeye a récemment détecté des documents malveillants Microsoft Office RTF qui tirent parti de CVE-2017-0199, une vulnérabilité auparavant non divulguée.Cette vulnérabilité permet à un acteur malveillant de télécharger et d'exécuter un script de base visuel contenant des commandes PowerShell lorsqu'un utilisateur ouvre un document contenant un exploit intégré.FireEye a observé des documents de bureau exploitant le CVE-2017-0199 qui téléchargent et exécutent des charges utiles de logiciels malveillants de différentes familles de logiciels malveillants bien connus.
Fireeye a partagé les détails de la vulnérabilité avec Microsoft et a coordonné la divulgation publique chronométrée avec la version
FireEye recently detected malicious Microsoft Office RTF documents that leverage CVE-2017-0199, a previously undisclosed vulnerability. This vulnerability allows a malicious actor to download and execute a Visual Basic script containing PowerShell commands when a user opens a document containing an embedded exploit. FireEye has observed Office documents exploiting CVE-2017-0199 that download and execute malware payloads from different well-known malware families. FireEye shared the details of the vulnerability with Microsoft and has been coordinating public disclosure timed with the release |
Malware Vulnerability Technical | ★★★★ | |
|
2017-04-06 14:00:00 | APT10 (Menupass Group): Nouveaux outils, la dernière campagne de la campagne mondiale de la menace de longue date APT10 (MenuPass Group): New Tools, Global Campaign Latest Manifestation of Longstanding Threat (lien direct) |
APT10 Background
APT10 (Menupass Group) est un groupe de cyber-espionnage chinois que Fireeye a suivi depuis 2009. Ils ont historiquement ciblé la construction et l'ingénierie, l'aérospatiale et les sociétés de télécommunications et les gouvernements aux États-Unis, en Europe et au Japon.Nous pensons que le ciblage de ces industries a soutenu les objectifs de sécurité nationale chinoise, notamment l'acquisition de précieuses informations militaires et de renseignement ainsi que le vol de données commerciales confidentielles pour soutenir les sociétés chinoises.Pwc et Bae ont récemment publié un blog conjoint >
APT10 Background APT10 (MenuPass Group) is a Chinese cyber espionage group that FireEye has tracked since 2009. They have historically targeted construction and engineering, aerospace, and telecom firms, and governments in the United States, Europe, and Japan. We believe that the targeting of these industries has been in support of Chinese national security goals, including acquiring valuable military and intelligence information as well as the theft of confidential business data to support Chinese corporations. PwC and BAE recently issued a joint blog detailing extensive APT10 activity. |
Threat Technical | APT 10 APT 10 | ★★★★ |
|
2017-04-03 07:00:00 | Dissection de l'une des boursiers WMI et PowerShell sans fichu et PowerShell (Poshspy) Dissecting One of APT29\\'s Fileless WMI and PowerShell Backdoors (POSHSPY) (lien direct) |
Mandiant a observé APT29 en utilisant une porte dérobée furtive que nous appelons poshspy.Poshspy exploite deux des outils que le groupe utilise fréquemment: PowerShell et Windows Management Instrumentation (WMI).Dans les enquêtes que Mandiant a menées, il est apparu qu'APT29 a déployé Poshspy comme porte dérobée secondaire pour une utilisation s'ils perdaient l'accès à leurs possibilités principales.
Poshspy tire le meilleur parti des fonctionnalités Windows intégrées & # 8211;Ce que l'on appelle «vivre du terrain» & # 8211;pour faire une porte dérobée particulièrement furtive.L'utilisation de WMI de Poshspy \\ pour stocker et persister le code de porte dérobée le rend presque invisible pour quiconque
Mandiant has observed APT29 using a stealthy backdoor that we call POSHSPY. POSHSPY leverages two of the tools the group frequently uses: PowerShell and Windows Management Instrumentation (WMI). In the investigations Mandiant has conducted, it appeared that APT29 deployed POSHSPY as a secondary backdoor for use if they lost access to their primary backdoors. POSHSPY makes the most of using built-in Windows features – so-called “living off the land” – to make an especially stealthy backdoor. POSHSPY\'s use of WMI to both store and persist the backdoor code makes it nearly invisible to anyone |
Tool Technical | APT 29 | ★★★★ |
|
2017-03-07 14:00:00 | La campagne Fin7 Spear Phishing cible le personnel impliqué dans les dépôts de la SEC FIN7 Spear Phishing Campaign Targets Personnel Involved in SEC Filings (lien direct) |
Fin février 2017, FireEye en tant que service (FAAS) a identifié une campagne de phishing de lance qui semblait cibler le personnel impliqué dans les dossiers des États-Unis en matière de valeurs mobilières et de l'échange (SEC) dans diverses organisations.Sur la base de plusieurs chevauchements identifiés dans les infrastructures et de l'utilisation d'outils, de tactiques et de procédures similaires (TTPS), nous avons une grande confiance que cette campagne est associée au groupe de menaces motivé financièrement suivi par Fireeye en tant que fin7.
Fin7 est un ensemble d'intrusion à motivation financière qui cible sélectivement les victimes et utilise le phishing de lance pour distribuer
In late February 2017, FireEye as a Service (FaaS) identified a spear phishing campaign that appeared to be targeting personnel involved with United States Securities and Exchange Commission (SEC) filings at various organizations. Based on multiple identified overlaps in infrastructure and the use of similar tools, tactics, and procedures (TTPs), we have high confidence that this campaign is associated with the financially motivated threat group tracked by FireEye as FIN7. FIN7 is a financially motivated intrusion set that selectively targets victims and uses spear phishing to distribute |
Threat Technical | ★★★★ | |
|
2017-03-03 13:00:00 | Évasion antivirus reconstruite & # 8211;Voile 3.0 AntiVirus Evasion Reconstructed – Veil 3.0 (lien direct) |
le Veil Framework est une collection d'outils conçus pour être utilisés lors de tests de sécurité offensive.Lorsque le temps l'appelle, mandiant \\L'équipe rouge utilisera le voile-trame pour atteindre leur objectif.L'outil le plus couramment utilisé est le voile-évasion, qui peut transformer un script arbitraire ou un morceau de shellcode en un exécutable Windows qui échappera aux détections par des produits antivirus courants.
Veil 2.0 a été rendu public le 17 juin 2013 et le cadre principal est resté largement inchangé depuis cette date.Il y a eu quelques modifications dans le cadre lui-même, mais ceux-ci ont
The Veil Framework is a collection of tools designed for use during offensive security testing. When the time calls for it, Mandiant\'s Red Team will use the Veil-Framework to help achieve their objective. The most commonly used tool is Veil-Evasion, which can turn an arbitrary script or piece of shellcode into a Windows executable that will evade detections by common antivirus products. Veil 2.0 was made publicly available on June 17, 2013, and the core framework has remained largely unchanged since that date. There have been some modifications to the framework itself, but these have |
Tool Technical | ★★★★ | |
|
2017-01-11 13:45:00 | Nouvelle variante du malware Ploutus ATM observé dans la nature en Amérique latine New Variant of Ploutus ATM Malware Observed in the Wild in Latin America (lien direct) |
Introduction Pouttus est l'une des familles de malware ATM les plus avancées que nous avons vues ces dernières années.Découvert pour le Première fois au Mexique En 2013, Ploutus a permis aux criminels de vider des distributeurs automatiques de billets en utilisant un clavier externe attaché à la machine ou | Malware Technical | ★★★★ | |
|
2016-09-23 09:30:00 | Hancitor (alias Chanitor) a observé en utilisant plusieurs approches d'attaque Hancitor (AKA Chanitor) observed using multiple attack approaches (lien direct) |
De nombreux acteurs de menace utilisent plusieurs vecteurs d'attaque pour assurer le succès.Les individus utilisant des logiciels malveillants Hancitor (également connus sous le nom de Chanitor) ne font pas exception et ont adopté trois approches pour livrer le malware afin de voler finalement des données à leurs victimes.Ces techniques incluent des méthodes peu commissaires sur les abus et le powerShell API.
Nous avons récemment observé des attaques de Hancitor contre certains de nos clients de garde d'exploits Fireeye.Le document malveillant utilisé pour livrer l'exécutable Hancitor a été observé distribué comme pièce jointe dans le spam de courrier électronique.Une fois téléchargé et exécuté, il laisse tomber un
Many threat actors use multiple attack vectors to ensure success. The individuals using Hancitor malware (also known by the name Chanitor) are no exception and have taken three approaches to deliver the malware in order to ultimately steal data from their victims. These techniques include uncommon API abuse and PowerShell methods. We recently observed Hancitor attacks against some of our FireEye Exploit Guard customers. The malicious document used to deliver the Hancitor executable was observed being distributed as an attachment in email spam. Once downloaded and executed, it drops an |
Malware Threat Technical | ★★★★ | |
|
2016-08-22 07:00:00 | Piratage matériel intégré 101 & # 8211;Le lien Belkin Wemo Embedded Hardware Hacking 101 – The Belkin WeMo Link (lien direct) |
Pourquoi le piratage intégré?
Les appareils connectés à Internet ou exécutent un système d'exploitation complet deviennent de plus en plus répandus dans la société d'aujourd'hui.Des appareils pour les locomotives aux commutateurs d'éclairage sans fil, la tendance de l'Internet des objets (IoT) est en augmentation et ici pour rester.Cela a le potentiel de nous faciliter la vie;Cependant, la sensibilité croissante des appareils analogiques une fois permet également aux adversaires de les cibler et de les utiliser potentiellement.
Avec l'omniprésence de ces appareils connectés à Internet, il y a un excédent de «choses» à exploiter.L'intention principale de cet article de blog est
Why Embedded Hacking? Devices that are connected to the Internet or run a full operating system are becoming more and more prevalent in today\'s society. From devices for locomotives to wireless light switches, the Internet of Things (IoT) trend is on the rise and here to stay. This has the potential to make our lives much easier; however, the increasing sentience of once analog devices also enables adversaries to target them and potentially misuse them. With the ubiquity of these Internet-connected devices, there is a surplus of “Things” to exploit. The main intent of this blog post is |
Prediction Technical | ★★★★ | |
|
2016-08-18 07:00:00 | WMI vs WMI: surveillance de l'activité malveillante WMI vs. WMI: Monitoring for Malicious Activity (lien direct) |
Bonjour, je m'appelle: WMI
WMI est un composant central de Windows depuis Windows 98, mais ce n'est pas exactement le vin dans une nouvelle bouteille.WMI ressemble plus étroitement à cette bouteille de vin \\ '61 Bordeaux qui continue de nous impressionner à mesure qu'elle vieillit et mûrit.WMI a été développé comme l'interprétation de Microsoft \\ de la gestion des entreprises basée sur le Web (WBEM) pour la gestion et l'audit du système;Cependant, les adversaires peuvent l'utiliser pour toutes les étapes du cycle de vie des attaques (illustré à la figure 1), de la création de l'attention initiale sur un système pour voler des données de l'environnement et tout entre les deux.À partir d'une enquête
Hello my name is: WMI WMI has been a core component of Windows since Windows 98, but it is not exactly old wine in a new bottle. WMI more closely resembles that bottle of \'61 Bordeaux wine that continues to impress us as it ages and matures. WMI was developed as Microsoft\'s interpretation of web-based enterprise management (WBEM) for system management and auditing; however, adversaries can use it for all stages of the Attack Lifecycle (shown in Figure 1), from creating the initial foothold on a system to stealing data from the environment and everything in-between. From an investigative |
Technical | ★★★★ | |
|
2016-08-03 03:30:00 | FAKENET-NG: outil d'analyse de réseau dynamique de prochaine génération FakeNet-NG: Next Generation Dynamic Network Analysis Tool (lien direct) |
En tant qu'équipe insensée dans l'équipe Flare (Fireeye Labs Advanced Inverse Engineering), j'effectue régulièrement une analyse dynamique de base des échantillons de logiciels malveillants.L'objectif est d'observer rapidement les caractéristiques d'exécution en exécutant des binaires dans un environnement sûr.Une tâche importante lors de l'analyse dynamique consiste à imiter l'environnement réseau et à inciter les logiciels malveillants à penser qu'il est connecté à Internet.Une fois bien fait, le logiciel malveillant révèle ses signatures de réseau telles que les noms de domaine de commande et de contrôle (C2), les chaînes d'agent utilisateur, les URL interrogées, etc.
Un outil de choix est Fakennet.Dans ce blog, je
As a reverse engineer on the FLARE (FireEye Labs Advanced Reverse Engineering) team, I regularly perform basic dynamic analysis of malware samples. The goal is to quickly observe runtime characteristics by running binaries in a safe environment. One important task during dynamic analysis is to emulate the network environment and trick the malware into thinking it is connected to the Internet. When done right, the malware reveals its network signatures such as command and control (C2) domain names, User-Agent strings, URLs queried, and so on. One tool of choice is FakeNet. In this blog, I |
Malware Tool Technical | ★★★★ | |
|
2016-06-28 04:00:00 | La dernière diffusion malveillante de superposition Android se propage via le phishing SMS en Europe The Latest Android Overlay Malware Spreading via SMS Phishing in Europe (lien direct) |
Introduction
En avril 2016, tout en enquêtant sur une campagne de smirs surnommée RUMMS qui impliquait le ciblage des utilisateurs d'Android en Russie, nous avons également remarqué trois campagnes de smirs similaires qui se seraient répandues au Danemark (février 2016), en Italie (février 2016), et dans les deuxDanemark et Italie (avril 2016).
Contrairement à la campagne Rumms, ces trois campagnes en Europe ont utilisé des techniques de superposition de vue (la même technique que nous avons décrite être utilisée par Slembunk Malware) pour présenter des internes d'entrée d'identification presque identiques comme le montrent les applications bénigne
Introduction In April 2016, while investigating a Smishing campaign dubbed RuMMS that involved the targeting of Android users in Russia, we also noticed three similar Smishing campaigns reportedly spreading in Denmark (February 2016), in Italy (February 2016), and in both Denmark and Italy (April 2016). Unlike the RuMMS campaign, these three campaigns in Europe used view overlay techniques (the same technique we described being used by SlemBunk malware) to present nearly identical credential input UIs as seen in benign apps, subsequently tricking unwary users into providing their banking |
Malware Technical | ★★★★ | |
|
2016-06-23 08:00:00 | Extraction automatique des chaînes obscurcies des logiciels malveillants à l'aide du solveur de chaîne obscurci de FireEye Labs (fil de fil) Automatically Extracting Obfuscated Strings from Malware using the FireEye Labs Obfuscated String Solver (FLOSS) (lien direct) |
Introduction et motivation
Avez-vous déjà exécuté Strings.exe sur un exécutable malware et sa sortie vous a fourni des adresses IP, des noms de fichiers, des clés de registre et d'autres indicateurs de compromis (IOC)?Super!Pas besoin d'exécuter une analyse plus approfondie ou d'embaucher des experts coûteux pour déterminer si un fichier est malveillant, son utilisation prévue et comment trouver d'autres cas.Malheureusement, les auteurs de logiciels malveillants ont compris et essaient de dissuader votre analyse.Bien que ces auteurs essaient de protéger leurs exécutables, nous vous apprendrons à utiliser le solveur de cordes obscurci de FireEye Labs pour récupérer sensible
Introduction and Motivation Have you ever run strings.exe on a malware executable and its output provided you with IP addresses, file names, registry keys, and other indicators of compromise (IOCs)? Great! No need to run further analysis or hire expensive experts to determine if a file is malicious, its intended usage, and how to find other instances. Unfortunately, malware authors have caught on and are trying to deter your analysis. Although these authors try to protect their executables, we will teach you to use the FireEye Labs Obfuscated Strings Solver (FLOSS) to recover sensitive |
Malware Technical | ★★★★ | |
|
2016-05-20 13:59:00 | Comment les logiciels malveillants RTF échappe à la détection basée sur la signature statique How RTF malware evades static signature-based detection (lien direct) |
Histoire
Rich Text Format (RTF) est un format de document développé par Microsoft qui a été largement utilisé sur diverses plates-formes depuis plus de 29 ans.Le format RTF est très flexible et donc compliqué.Cela rend le développement d'un analyseur RTF sûr difficile.Certaines vulnérabilités notoires telles que cve-2010-3333 et CVE-2014-1761 ont été causés par des erreurs dansImplémentation de la logique de l'analyse RTF.
En fait, les logiciels malveillants RTF ne se limitent pas à l'exploitation des vulnérabilités d'analyse RTF.Les fichiers RTF malveillants peuventInclure d'autres vulnérabilités sans rapport avec l'analyseur RTF car RTF prend en charge l'incorporation de
History Rich Text Format (RTF) is a document format developed by Microsoft that has been widely used on various platforms for more than 29 years. The RTF format is very flexible and therefore complicated. This makes the development of a safe RTF parsers challenging. Some notorious vulnerabilities such as CVE-2010-3333 and CVE-2014-1761 were caused by errors in implementing RTF parsing logic. In fact, RTF malware is not limited to exploiting RTF parsing vulnerabilities. Malicious RTF files can include other vulnerabilities unrelated to the RTF parser because RTF supports the embedding of |
Malware Vulnerability Technical | ★★★★ | |
|
2016-05-11 14:00:00 | MENONAGE L'acteur tire parti de Windows Zero-Day Exploit dans les attaques de données de la carte de paiement Threat Actor Leverages Windows Zero-day Exploit in Payment Card Data Attacks (lien direct) |
En mars 2016, un acteur de menace à motivation financière a lancé plusieurs campagnes de phishing de lance sur mesure ciblant principalement les industries de la vente au détail, du restaurant et de l'hôtellerie.Les e-mails contenaient des variations de Microsoft Word Documents avec | Threat Technical | ★★★★ | |
|
2016-05-03 07:30:00 | Python bytecode déobfuscting Deobfuscating Python Bytecode (lien direct) |
Introduction
Au cours d'une enquête, l'équipe Flare est tombée sur un échantillon de logiciel malveillant Python intéressant (MD5: 61A9F80612D3F7566DB5BDF37BBF22CF ) qui est emballé à l'aide de py2exe .PY2EXE est un moyen populaire de compiler et de packer les scripts Python en exécutables.Lorsque nous rencontrons ce type de logiciels malveillants, nous décomplimons et lisons généralement le code source Python.Cependant, ce malware était différent, il a fait manipuler ses bytecode pour l'empêcher d'être décompilé facilement!
Dans ce blog, nous analyserons les logiciels malveillants et montrerons comment nous avons supprimé l'obscurcissement, ce qui nous a permis de produire un décompilé propre
Introduction During an investigation, the FLARE team came across an interesting Python malware sample (MD5: 61a9f80612d3f7566db5bdf37bbf22cf ) that is packaged using py2exe. Py2exe is a popular way to compile and package Python scripts into executables. When we encounter this type of malware we typically just decompile and read the Python source code. However, this malware was different, it had its bytecode manipulated to prevent it from being decompiled easily! In this blog we\'ll analyze the malware and show how we removed the obfuscation, which allowed us to produce a clean decompile |
Malware Technical | ★★★★ | |
|
2016-03-23 07:00:00 | Authentification à deux facteurs meilleures pratiques: 99 problèmes mais à deux facteurs Two-factor Authentication Best Practices: 99 Problems but Two-Factor Ain\\'t One (lien direct) |
L'authentification à deux facteurs est une meilleure pratique pour obtenir un accès à distance, mais c'est aussi un Saint Graal pour une équipe rouge motivée.Se cacher sous le couvert d'un utilisateur légitime authentifié par plusieurs informations d'identification est l'un des meilleurs moyens de rester non détectés dans un environnement.De nombreuses entreprises considèrent leurs solutions à deux facteurs comme infaillibles et ne prennent pas de précautions pour protéger contre les attaquants \\ 'tentatives de les contourner ou de les déambuler.
Les techniques couvertes dans ce blog vont des méthodes simples à avancées de gestion de l'authentification à deux facteurs du point de vue d'une équipe rouge et de fournir
Two-factor authentication is a best practice for securing remote access, but it is also a Holy Grail for a motivated red team. Hiding under the guise of a legitimate user authenticated through multiple credentials is one of the best ways to remain undetected in an environment. Many companies regard their two-factor solutions as infallible and do not take precautions to protect against attackers\' attempts to bypass or backdoor them. The techniques covered in this blog range from simple to advanced methods of handling two-factor authentication from the perspective of a red team, and provide |
Technical | ★★★ | |
|
2016-02-11 12:53:00 | Plus grande visibilité grâce à la journalisation de PowerShell Greater Visibility Through PowerShell Logging (lien direct) |
Mise à jour (29 février): Ce message a été mis à jour avec de nouvelles recommandations de configuration en raison de la rediffusion du 24 février PowerShell 5, et comprend désormais un lien vers un script d'analyse que les utilisateurs peuvent trouver précieux.
Introduction
Mandiant enquête continuellement sur les attaques qui exploitent PowerShell à toutes les phases de l'attaque.Un problème courant que nous rencontrons est le manque de journalisation disponible qui montre adéquatement quelles actions l'attaquant a effectué à l'aide de PowerShell.Dans ces enquêtes, Mandiant propose régulièrement des conseils sur l'augmentation de l'exploitation de PowerShell pour fournir aux enquêteurs une détection
UPDATE (Feb. 29): This post has been updated with new configuration recommendations due to the Feb. 24 rerelease of PowerShell 5, and now includes a link to a parsing script that users may find valuable. Introduction Mandiant is continuously investigating attacks that leverage PowerShell throughout all phases of the attack. A common issue we experience is a lack of available logging that adequately shows what actions the attacker performed using PowerShell. In those investigations, Mandiant routinely offers guidance on increasing PowerShell logging to provide investigators a detection |
Technical | ★★★★ | |
|
2016-01-07 13:56:00 | Sandworm Team et Ukrainian Power Authority Attacks Sandworm Team and the Ukrainian Power Authority Attacks (lien direct) |
MISE À JOUR 1.11.16 - L'équipe SANS ICS connecte Dots
Mise à jour de l'entrée du blog pour attirer l'attention sur la récente analyse publiée par Mike Assante de l'équipe SANS ICS.
"Après avoir analysé les informations qui ont été mises à disposition par les sociétés d'électricité concernées, les chercheurs et les médias, il est clair que les cyberattaques étaient directement responsables des pannes de courant en Ukraine. L'équipe SANS ICS a coordonné les discussions en cours et fourni des analysesÀ travers plusieurs membres et entreprises de la communauté internationale. Nous évaluons avec une grande confiance en fonction des déclarations de l'entreprise, les médias
Update 1.11.16 - SANS ICS Team Connects Dots
Updating the blog entry to bring attention to the recent analysis published by Mike Assante from the SANS ICS team.
"After analyzing the information that has been made available by affected power companies, researchers, and the media it is clear that cyber attacks were directly responsible for power outages in Ukraine. The SANS ICS team has been coordinating ongoing discussions and providing analysis across multiple international community members and companies. We assess with high confidence based on company statements, media |
Technical | ★★★★ | |
|
2015-12-01 13:00:00 | Le groupe de cyber-menaces basé en Chine utilise Dropbox pour les communications de logiciels malveillants et cible les médias de Hong Kong China-based Cyber Threat Group Uses Dropbox for Malware Communications and Targets Hong Kong Media Outlets (lien direct) |
Fireeye Intelligence Centerfireeye Threat Intelligence Analysts a identifié une campagne de phishing de lance réalisée en août 2015 en ciblant les organisations de médias basées à Hong Kong.Un groupe de cyber-menaces basé en Chine, que Fireeye suit en tant que groupe de menaces persistantes avancé (APT) non classé et d'autres chercheurs appellent «admin @ 338», peut avoir mené l'activité. [1] Les e-mails contenaient des documents malveillants avec une charge utile malveillante appelée lowball.Lowball abuse du service de stockage cloud Dropbox pour la commande et le contrôle (CNC).Nous avons collaboré avec Dropbox pour enquêter sur la menace, et
FireEye Intelligence CenterFireEye Threat Intelligence analysts identified a spear phishing campaign carried out in August 2015 targeting Hong Kong-based media organizations. A China-based cyber threat group, which FireEye tracks as an uncategorized advanced persistent threat (APT) group and other researchers refer to as “admin@338,” may have conducted the activity.[1] The email messages contained malicious documents with a malware payload called LOWBALL. LOWBALL abuses the Dropbox cloud storage service for command and control (CnC). We collaborated with Dropbox to investigate the threat, and |
Malware Threat Cloud Technical | ★★★★ | |
|
2015-09-15 02:00:00 | Synful Knock - Un implant de routeur Cisco - Partie I SYNful Knock - A Cisco router implant - Part I (lien direct) |
Présentation
Les implants de routeur , de tout fournisseur de l'espace d'entreprise, ont été largement considérés comme de nature théorique et surtout en usage.Cependant, les récents avis des fournisseurs indiquent que ceux-ci ont été observés dans la nature. mandiant peut confirmer l'existence d'au moins 14 implants de routeurs de ce type répartis dans quatre pays différents: l'Ukraine, les Philippines, le Mexique et l'Inde.
Synful Knock est une modification furtive de l'image du firmware du routeur \\ qui peut être utilisée pour maintenir la persistance au sein d'un réseau de victime.Il est de nature personnalisable et modulaire et peut donc être mis à jour une fois
Overview Router implants, from any vendor in the enterprise space, have been largely believed to be theoretical in nature and especially in use. However, recent vendor advisories indicate that these have been seen in the wild. Mandiant can confirm the existence of at least 14 such router implants spread across four different countries: Ukraine, Philippines, Mexico, and India. SYNful Knock is a stealthy modification of the router\'s firmware image that can be used to maintain persistence within a victim\'s network. It is customizable and modular in nature and thus can be updated once |
Technical | ★★★★ | |
|
2015-04-01 15:17:27 | Microsoft Word Intruder (MWI): un nouveau kit d'exploitation de documents Word Microsoft Word Intruder (MWI): A New Word Document Exploit Kit (lien direct) |
Les outils utilisés pour créer des documents malveillants qui exploitent les vulnérabilités dans Microsoft Word sont désormais annoncés dans des forums underground et un nouvel outil a émergé qui offre la possibilité de suivre l'efficacité des campagnes.Le constructeur, Microsoft Word Intruder (MWI), est annoncé comme un outil «APT» à utiliser dans les attaques ciblées.Il s'accompagne d'un ensemble de statistiques appelé «Mwistat» qui permet aux opérateurs de suivre diverses campagnes.
Selon l'auteur, l'utilisation de MWI en collaboration avec le spam est interdite, et ceux qui ignorent ce risque pour que leur permis soit révoquée.Dans
The tools used to create malicious documents that exploit vulnerabilities in Microsoft Word are now being advertised in underground forums and one new tool has emerged that provides the ability to track the effectiveness of campaigns. The builder, Microsoft Word Intruder (MWI), is advertised as an “APT” tool to be used in targeted attacks. It is accompanied by a statistics package known as “MWISTAT” that allows operators to track various campaigns. According to the author, the use of MWI in conjunction with spam is forbidden, and those who ignore this risk having their license revoked. In |
Spam Tool Vulnerability Technical | ★★★★ | |
|
2015-01-08 20:39:00 | Flare Ida Pro Script Series: Génération de modèles de fonction Flair Using Idapython FLARE IDA Pro Script Series: Generating FLAIR function patterns using IDAPython (lien direct) |
L'équipe Advanced Insidering (Flare) de FireEye Labs continue de partager les connaissances et les outils avec la communauté.Ceci est le troisième script Ida Pro que nous avons publié via ce blog et nous continuerons à publier ces scripts ici .
Résumé
Ce blog décrit un script idapython pour aider à l'ingénierie inverse de logiciels malveillants.Les signatures de flirt aident Ida Pro reconnaître les fonctions communes dans les programmes compilés et les renommer automatiquement pour l'ingénieur inverse.Le script idapython idb2pat.py génère des modèles IDA Pro Flair à partir des fichiers IDB existants.Vous pouvez l'utiliser pour générer des signatures de flirt pour
The FireEye Labs Advanced Reverse Engineering (FLARE) Team continues to share knowledge and tools with the community. This is the third IDA Pro script we\'ve released via this blog and we\'ll continue to release these scripts here. Summary This blog describes an IDAPython script to assist with malware reverse engineering. FLIRT signatures help IDA Pro recognize common functions in compiled programs and automatically rename them for the reverse engineer. The IDAPython script idb2pat.py generates IDA Pro FLAIR patterns from existing IDB files. You can use it to generate FLIRT signatures for |
Malware Tool Technical | ★★★★ | |
|
2014-11-21 19:36:00 | Opération Double Tap Operation Double Tap (lien direct) |
apt3 (également connu sous le nom d'UPS), les acteurs responsables de Operation Clandestine Fox a tranquillement continué à envoyer des vagues de messages de spearphish au cours des derniersmois.Cet acteur a lancé sa dernière campagne le 19 novembre 2014 ciblant plusieurs organisations.L'attaquant a exploité plusieurs exploits, ciblant les deux CVE-2014-6332 et CVE-2014-4113 .Le CVE-2014-6332 a été divulgué publiquement le 2014-2011-11 et est une vulnérabilité d'exécution de code à distance de tableau d'automatisation Windows Ole.CVE-2014-4113 est une vulnérabilité d'escalade privilégiée qui était divulgué publiquement le 2014-10-14 .
l'utilisation de cve
APT3 (also known as UPS), the actors responsible for Operation Clandestine Fox has quietly continued to send waves of spearphishing messages over the past few months. This actor initiated their most recent campaign on November 19, 2014 targeting multiple organizations. The attacker leveraged multiple exploits, targeting both CVE-2014-6332 and CVE-2014-4113. CVE-2014-6332 was disclosed publicly on 2014-11-11 and is a Windows OLE Automation Array Remote Code Execution vulnerability. CVE-2014-4113 is a privilege escalation vulnerability that was disclosed publicly on 2014-10-14. The use of CVE |
Vulnerability Technical | APT 3 APT 3 | ★★★★ |
|
2014-09-03 18:00:29 | Le groupe APT préféré de Darwin \\ Darwin\\'s Favorite APT Group (lien direct) |
Introduction
Les attaquants appelés APT12 (également connu sous le nom d'Ixeshe, Dyncalc et DNSCALC) ont récemment lancé une nouvelle campagne ciblant les organisations au Japon et à Taïwan.L'APT12 serait un groupe de cyber-espionnage qui aurait des liens avec l'armée de libération du peuple chinois.Les objectifs d'APT12 \\ sont conformes aux objectifs de la République de Chine (PRC) de la République de Chine (PRC).Les intrusions et les campagnes menées par ce groupe sont en ligne avec les objectifs de la RPC et l'intérêt personnel à Taïwan.De plus, les nouvelles campagnes que nous avons révélées mettent davantage met en évidence la corrélation entre les groupes APT qui cessent et réoulèvent
Introduction The attackers referred to as APT12 (also known as IXESHE, DynCalc, and DNSCALC) recently started a new campaign targeting organizations in Japan and Taiwan. APT12 is believed to be a cyber espionage group thought to have links to the Chinese People\'s Liberation Army. APT12\'s targets are consistent with larger People\'s Republic of China (PRC) goals. Intrusions and campaigns conducted by this group are in-line with PRC goals and self-interest in Taiwan. Additionally, the new campaigns we uncovered further highlight the correlation between APT groups ceasing and retooling |
Technical | APT 12 | ★★★★ |
|
2014-04-03 09:48:00 | DLL à chargement latéral: un autre point mort pour antivirus DLL Side-Loading: Another Blind-Spot for Anti-Virus (lien direct) |
Le mois dernier, j'ai présenté une conférence à la conférence RSA USA sur un vecteur de menace de plus en plus populaire appelé «Dynamic-Link Library-Wadinging» (DLL Side-Wading).Comme pour de nombreuses vulnérabilités, cet exploit existe depuis assez longtemps et est le résultat de Microsoft qui cherche à faciliter les mises à jour binaires pour les développeurs Windows via la fonction d'assemblage Windows côte à côte (WINSXS).
Maintenant, cependant, les développeurs avancés de menace persistante (APT) utilisent la méthode inoffensive de chargement latéral DLL pour faufiler les scanners antivirus (AV) de malware (AV) alors que les fichiers infectés fonctionnent en mémoire.Ce faisant, le
Last month, I presented a talk at the RSA USA Conference on an increasingly popular threat vector called “Dynamic-Link Library Side-Loading” (DLL Side-Loading). As with many vulnerabilities, this exploit has existed for a rather long time and is the result of Microsoft looking to make binary updates easier for Windows developers through the Windows side-by-side (WinSxS) assembly feature. Now, though, advanced persistent threat (APT) developers are using the innocuous DLL Side-Loading method to sneak malware past anti-virus (AV) scanners as the infected files run in-memory. In doing-so, the |
Malware Threat Conference Technical | ★★★★ |
To see everything:
Our RSS (filtrered)
