Dieser Eintrag ist die monatliche Fortsetzung der Anitian Serie von Threat Intelligence Erkenntnisse aus unserer Sherlock Threat Intelligence Team verwaltet. Der Zweck dieser Briefings ist einige der bedeutenden Kampagnen, die unser Team von Sherlocks zu veröffentlichen sind zu diesem Zeitpunkt zu verfolgen.

Tragen Sie unsere menschliche Intelligenz auf die zahlreichen Bedrohungen, denen wir in der modernen Welt konfrontiert und Sie echte Threat Intelligence bekommen. Als Sicherheitsexperten konzentrieren wir oft unsere Lupen auf sexy technische Dinge wie Botnets und Remotecodeausführungen. Aber manchmal müssen wir die Lupe zu drehen und uns selbst betrachten. Einige der Probleme, die wir sind im September 2015, von denen mehrere umfassen eine laufende Kampagne von uns Tracking, hat uns sehr guten Grund, das zu tun.

Web-Browser Get Hammered

WAS: August eine Steigerung in kritischen Web-Browser-basierte Angriffe über Internet Explorer und Firefox sah. Diese Schwachstellen können Angreifer remote Dateien stehlen oder Code an der Genehmigung des Web-Browsing-Benutzer ausführen! Mozilla selbst meldet Angriffe für die Firefox-Schwachstellen in der freien Natur existieren.

WARUM: Die moderne Web-Browser ist die am stärksten exponierten und gefährdeten Stück Software auf den meisten Computern heute. Mit dem Design-Browser, herunterladen und Code von entfernten Quellen auszuführen. Dies macht Browser eine extrem häufige Angriffsvektor. Wir verfolgen genau Protokolle anzeigt, diese Angriffe und Update-Server-Protokolle untersuchen Lücken in Anwendung Patching zu finden.

Referenzen:

IE Remotecodeausführung:

Firefox Remote File Stehlen:

Was ist los, es zu nehmen Sie in diese Proxy Bot zu bekommen?

WAS: Stoppen Sie mich, wenn Sie diese ein gehört habe:

Ein Benutzer navigiert zu einer normalen Webseite. Hinter den Kulissen ein Kit, wie Angler oder Neutrino ausnutzen, trifft den Browser des Benutzers. Bei diesem Exploit Schübe durch ein Stück Malware als Plugin verkleidet. Der Computer schließt sich ein Proxy-basierte Botnetz. Die Angreifer verkaufen dann aus, dass der Zugriff auf bösartige Aktivitäten.

WARUM: Proxy-Bots waren einer unserer laufenden Jagden in diesem Jahr. Unsere Forschung zeigt, dass nur wenige Organisationen blockieren Outbound-Proxy-Protokolle. Nicht autorisierte Proxy-Verkehr hat selten eine legitime Anwendung. Im Inneren des Proxy-Tunnel kann alles passieren, wie Befehle zur Wohnung von Malware, Daten heimlich gelesen oder kopiert oder Remote-Zugriff in Ihrem Netzwerk. Während wir blockieren Proxies empfehlen, sehen wir eine Erhöhung dieses Verkehrs an der Grenze zu helfen, diese Arten von Infektionen zu jagen, auch wenn die Endpunktsicherheit ist Kommissionierung sie nicht up-die Endpunktsicherheit tun nicht immer! Exploit-Kits entwickeln sich schnell, und ihre Unterschrift Änderungen leicht Definitionsupdates hinter sich lassen.

Referenzen:

Bunitu Proxy Botnet:

HolaVPN Zugang Reselling:

schatten-IT

WAS: Business-IT-Abteilungen eine schwierige Aufgabe haben: Sie müssen Lösungen mit der Geschwindigkeit von Unternehmen liefern, während Benutzer mit der Geschwindigkeit des Menschen zu erziehen. Allerdings sind die Menschen einfallsreich und werden, die zur Lösung ihrer egoistischen Bedürfnisse anwenden. "Schatten-IT" ist der User-Level-Anwendung der zahlreichen Techniken, die täglichen Probleme zu lösen. Wenn zum Beispiel die sichere File-Sharing-Lösung, die Sie zu komplexen bezahlt ist, wird sie sich öffnen nur ein Konto Dropbox. Oder wenn die drahtlose Unternehmens zu langsam oder zu restriktiv ist, werden sie einen unsicheren Consumer-WLAN-Router in ihre lokalen Switch anschließen.

WARUM: Schatten-IT ist schwer zu zähmen. Benutzer mit den besten Absichten können Unternehmen Daten in Gefahr, wenn sie Setup-Work-Arounds unwissentlich setzen. Die Lösung IT zu Schatten ist ebenso komplex. Es erfordert eine Kombination von technischen Kontrollen, Richtlinien und Verbesserungen der Benutzerseite, sie zu bekämpfen. Wir arbeiten mit Organisationen Hinweise auf Schatten-IT-Aktivitäten auf die Jagd nach, Führung zu informieren und informierte Entscheidungsfindung aufzufordern.

Referenzen:

Dies führt uns zu ...

1% der Nutzer Equal 75% Risiko

WAS: Die jährliche Verizon Daten Breach Investigations Report hat eine faszinierende neue Statistik. Es besagt, dass 1% der Nutzer umfassen 66% bis 75% des Risikos für eine Organisation über ihr Verhalten und Handeln. Dies ist eine Art von Perversion der. Es ist jedoch nicht überraschend für uns.

WARUM: Wir verbringen große Mengen an Zeit und Mühe, den Aufbau hohen Mauern, starke Tore, tiefen Gräben und Ausbildung feuerspeiende Informationsspezialisten. Wenn die richtigen Leute ihr Passwort herausgeben, wenn gut gefragt, oder von ihrer besonders Politik befreit Workstation infiziert, nichts davon zählt. einige dieser Bedrohungen Verfolgung selbst kann schwierig sein, ausreichend Zeit für die Analyse Protokolle gegeben, unsere Sherlocks sehen Muster beginnen, die besonders problematische Benutzer anzeigen. Bewaffnet mit dieser Analyse können wir Organisationen unterstützen Anwender bei der Identifizierung, die dann zusätzliche Aufmerksamkeit gegeben werden kann, für Verfahren und Nutzungsrichtlinien Bildung. Nach dem Verizon DBIR, könnte diese unglaubliche Sicherheit Rückkehr zahlen!