好了,读者们,我已经三个月没写过一篇顶级博客了……帖子....我想你了!我们的团队没有虚度光阴。相反,我们一直在写博客,我们希望为你作为蓝队队员的角色提供支持。我们向你的努力致敬,它们当然没有被忽视!
如果这是你的第一个季度总结博客,或者你需要一个快速的提醒,这个系列旨在突出我们在过去的季度中最受欢迎(定义为阅读量最多)的博客文章。通过这种方式,如果你无法跟上我们不间断的博客文章流,你可以导航到这些文章,并快速查看哪些文章你的同事认为有价值或有趣。你可以在我们的“顶尖博客的分类。这篇文章包括了我们自己的查德·安德森(又名@piffey)进行的研究和各种教育资源的结合。我包含了一些你可能会觉得有用的不属于博客的额外资源:
COVID-19对威胁搜索的影响
威胁搜索团队和成熟度级别
现代威胁猎人的工具箱中包括什么
威胁狩猎的好处
成功的障碍
今天的威胁猎捕队是什么样子
DNS, Whois和被动DNS小抄表
这个小抄总结了“有价值的数据集”博客系列(下面也有链接)的主要要点。它的内容包括DNS和Whois记录主机的记录类型、观察和潜在指示。
现在是博客本身。想了解更多及时和相关的威胁情报,你可以关注我们的推特账号,@SecuritySnacks,由DomainTools安全研究团队管理,以及我们的每周播客,打破坏处.最后,一定要收看我们每月的系列培训,指标在鸡尾酒.这次培训不仅包括有趣的饮料,而且您将与迷人的蒂姆·海明一起进行及时的调查。
勒索软件主导着新闻周期,但随着变种的数量不断增长,以及它们背后的僵尸网络,防御者很容易失去对它们之间关系的追踪。在这篇文章中,DomainTools的研究人员介绍了三个最多产的勒索病毒家族以及他们目前使用的加载程序。
CovidLock更新:深入分析冠状病毒Android勒索软件
DomainTools安全研究团队在监测新注册的冠状病毒和冠状病毒标记域名的过程中,发现一个网站以COVID-19热图为幌子,引诱用户下载一个Android应用程序。对该应用程序的分析表明,APK包含勒索软件。恶意域(coronavirusapp[.]site)的SSL证书将该站点链接到另一个域(dating4sex[.]us),该域也为恶意应用程序提供服务。该链接网站的注册信息指向一个在摩洛哥的个人。
本系列博客的目的是强调一些被经验丰富的IR团队证明在分析网络基础设施时是有价值的数据集。在本系列文章中,我将提供一些背景信息,介绍这些数据集存在的原因、它们如何与您自己的内部威胁情报交互以及它们的主要优势和限制。当我说“我们知道您在选择威胁情报时有很多选择,我们感谢您选择[此处输入数据集]进行调查”时,我感觉自己有点像西南航空公司的空乘人员!,但在现实中,许多像你一样的人正在处理大量的内部和外部情报,所以我希望这篇博客突出了一些存在于你的工具箱中的工具,并可以帮助识别它们在什么时候是有价值的,以完成你的“威胁情报钉板”。这样,当您查看前面提到的场景时,您就可以确信自己没有错过信号。
这篇文章的目的是向您介绍如何在Microsoft Windows平台上收集日志。本文首先演示Windows源日志部署,然后从日志示例中选择字段的集合,并对这些源进行简要描述。最后一部分是审计日志,因为它在确保基础设施防御中起着重要的作用。
这将是DomainTools的安全研究团队撰写的另一篇长系列实用OSINT博客文章。本博客简要比较了一些主要图像搜索引擎的反向图像搜索能力:谷歌,Yandex, Bing和TinEye。希望你已经熟悉这些搜索引擎,但如果不是,这篇文章是一个很好的速成班,你可以期待从每个搜索引擎的结果。
早在2009年,Mike Cloppert出版了一个系列威胁情报和网络杀戮链。在这篇文章中,Mike将指标分为三类:原子的、计算的和行为的.大约一年后,Mandiant在他们的m趋势报告中使用了“妥协的指标”这个术语,几天后,Mandiant的Matt Fraizer发布了博客通过分享妥协指标来打击APT.这些指标可以提供有益的见解。然而,使用IoCs的一个障碍是从外部报告中获取相关指标,如供应商研究报告(通常是pdf文件)或博客(纯文本/HTML),以便您和您的团队采取行动。在本博客中,复习一下妥协的指标,它们与内部威胁情报的关系,以及帮助您快速从pdf和纯文本中提取它们的工具。
DomainTools的研究人员发现了一群证书收集网站,它们伪装成美国救援计划法案注册网站,为那些希望获得联邦援助的人提供服务。通过历史WHOIS信息和OSINT技术,DomainTools将这一活动归因于尼日利亚一家网络开发公司GoldenWaves Innovations。在本文中,DomainTools研究人员将介绍用于列举这些网站的技术和方法,并以中-高置信度进行关联归因。
我们将在本季度继续为你们所有人努力工作。此外,我们将确保让您了解最新的安全研究、产品增强、技术主题、行业新闻等等。如果你有兴趣在我们的博客上阅读或在我们的每周播客中讨论的话题,打破坏处,请随时发推特给我们@DomainTools.
订阅DomainTools每月通讯,以获得创新的,实用的建议,以改善他们的安全态势。我们的目标是帮助组织在其组织的日常防御中更高效、更有知识、更积极主动。