介绍
欢迎回到我们的季度总结博客系列!自从我总结了我们最受欢迎的博客以来已经有一段时间了,但是我致力于定期强调教育资源和深入研究。除了及时的研究外,我们还发表了关于城镇谈话的调查数据,Solarwinds。此外,我们与网络安全内部人士合作进行年度威胁狩猎报告,才华横溢制定强大的枢轴方法。
如果您正在寻找及时且相关的威胁情报新闻,我可能建议您遵循我们的新Twitter句柄,@securitysnacks,由Domaintools安全研究团队以及我们的每周播客管理破坏坏处。蒂姆·赫尔明(Tim Helming)制作了一个星光熠熠的情节总结在Covid网络犯罪中一年,我强烈建议您加入。最后,我们开始了新的培训系列,鸡尾酒的指标。在本月的系列节目中,请与本月的特色饮料一起进行非正式展示Domaintools产品,并带有如此迷人的蒂姆·海明(Tim Helming)。这样,我希望您喜欢在第1季度2021年的顶级博客结束。
赶上您的行业阅读
检查交换剥削及其对捍卫者的教训
2021年3月2日,Microsoft发布了Microsoft Exchange的带外更新,以涵盖四个主动探索的漏洞。一起使用,这些漏洞允许远程访问裸露的Microsoft Exchange实例,在特权级别上执行后续代码执行以及在受害者系统上建立持久性的能力。DevCore研究始于2020年10月,Microsoft承认SSRF脆弱性Proxylogon于2021年1月6日存在。
连续喷发:对太阳能供应链事件的进一步分析
多个实体于2020年12月13日通过Solarwinds Orion网络监控软件披露了供应链攻击。DomainTools提供了网络基础架构的初步分析及12月14日的含义。从那时起,多个实体发布了报告,包括其他恶意软件分析,命令和控制(C2)标识以及有关事件可能范围的详细信息。
Covidlock更新:对冠状病毒Android勒索软件的更深入分析
在监视新注册的冠状病毒和COVID标记的域名的过程中,DomainTools安全研究团队发现了一个网站,吸引用户以Covid-19的热图的幌子下载Android应用程序。对应用程序的分析表明,APK包含勒索软件。恶意域的SSL证书(Coronavirusapp [。]站点)将站点链接到另一个域(Dating4Sex [。] US),该域也正在服务恶意应用程序。链接站点的注册信息指向摩洛哥的一个人。
解开与SolarWinds黑客链接的网络基础架构
2020年12月13日,出现了多个媒体报告,首先识别了美国几家政府机构的网络入侵。随后的报告表明,这些入侵以及在信息安全巨头FireEye上的先前确定的违规行为与IT管理和远程监控软件提供商SolarWinds的妥协有关。
改变与阳光相关的网络指标的效用的视角变化
2020年12月中旬,FireEye和Microsoft披露了Solarwinds事件的影响。不久之后,从Volexity到Symantec到CrowdStrike(等)的其他实体发布了有关“ Solarwinds事件”,“ Sunburst”或“ Solorigate”的活动的更多细节。Domaintools也提供了对网络基础架构,防御建议和可能归因项目的独立分析。
细节中的魔鬼:朝阳归因
自2020年12月首次披露以来,涉及Solarwinds的供应链事件与俄罗斯情报实体,尤其是俄罗斯外国情报服务(SVR)的媒体报道有关。正如Domaintools先前报道的那样,尽管它似乎有多个政府资源将事件与SVR联系起来,但这导致了一种“传递”归因,以将活动与APT29联系起来,也称为舒适的熊或Yttrium,这是唯一的商业识别威胁actor names linked to Russia’s SVR.
Evolving Covid-19挑战:非法疫苗接种卡
Domaintools Research一直关注所有新的Covid主题域名注册,同时又产生了我们的Covid-19威胁列表,并揭示了Covidlock,Covidlock是一种以COVID为主题的Android lansomware APK,捕食用户对病毒的恐惧。在这项研究过程中,Domaintools研究团队开放了与共同相关域的闸门,以便每天不断监视和分析哪些域被旋转。每天,注册了约300,000个域,其中一小部分与大流行有关。
即将发生的事情
在整个季度的整个过程中,我们将继续为大家努力工作。此外,我们一定会向您介绍最近的安全研究,产品增强功能,技术主题,行业新闻等等。如果有任何主题,您有兴趣在我们的博客上阅读或在我们的每周播客中报道有关破坏坏处,请随时发推我们@Domaintools。