Tag Archives: Scanner
automation

Not All IOC Scanning Is the Same

In the recent months I had several talks with friends and coworkers about IOC scanning and how to integrate IOCs from threat intel feeds into our scanners or other products that our customers already use. People often tell me that EDR or client management product X already does IOC scanning and that we don’t need […]

Leave a comment Continue Reading →
Endpoint Attacker Detection

Synergetic Effects of Network and Host Based APT Detection

People often ask me if they still need our host based scanner THOR now that they have bought a network appliance that already checks all content that goes into and leaves their network. I normally answer that it is not a question of one solution versus another, but a combination of solutions to achieve the […]

2 Comments Continue Reading →

APT Detection is About Metadata

People often ask me, why we changed the name of our scanner from „IOC“ to „APT“ scanner and if we did that only for marketing reasons. But don’t worry, this blog post is just as little a sales pitch as it is an attempt to create a new product class. I’ll show you why APT […]

1 Comment Continue Reading →
Yara Anomaly Scanner

How to Scan for System File Manipulations with Yara (Part 2/2)

As a follow up on my first article about inverse matching yara rules I would like to add a tutorial on how to scan for system file manipulations using Yara and Powershell. The idea of inverse matching is that we do not scan for something malicious that we already know but for anomalies within the […]

9 Comments Continue Reading →
Signature Matching sethc.exe

Inverse Yara Signature Matching (Part 1/2)

During our investigations we encountered situations in which attackers replaced valid system files with other system files to achieve persistence and establish a backdoor on the systems. The most frequently used method was the replacement of the „sethc.exe“ with the valid command line „cmd.exe“ to establish a backdoor right in logon screen by pressing shift […]

1 Comment Continue Reading →
0day exploit EPATHOBJ

Signatur für Windows 0-day EPATHOBJ Exploit

Am gestrigen Tage wurde eine 0-day Schwachstelle am Microsoft Windows Betriebssystem bekannt, die für sich allein betrachtet bereits als schwerwiegend betrachtet wird, in Zusammenhang mit den uns bekannten Angreifer-Werkzeugen wie dem Windows Credential Editor allerdings als kritisch für jede größere Microsoft Windows Domänen-Infrastruktur angesehen werden muss. Die im heise Artikel „Google-Forscher veröffentlicht Zero-Day-Exploit für Windows“ […]

Leave a comment Continue Reading →
Splunk Security Monitoring

Incident Response Consulting

In den vergangenen Monaten konnten wir mehrere Kunden bei der Bewältigung und Behandlung massiver Angriffe unterstützen. Zufällige Entdeckungen im Kundennetz zeigten in allen Fällen nur die „Spitze es Eisbergs“ größerer und länger andauernder Attacken. Nachdem ein Security Incident als solcher bestätigt wird, ist die erste Frage, die sich stellt, die nach dem Umfangs des Angriffs oder […]

Leave a comment Continue Reading →
Hackeraktivitäten erkennen

THOR IRS – Incident Response Werkzeug

Das Incident Response Tool TH0R ermöglicht die Erkennung von Hackern und deren Aktivitäten auf Serversystemen. Weitere Infos zum Werkzeug finden Sie hier.

Kommentare deaktiviert für THOR IRS – Incident Response Werkzeug Continue Reading →
Selection_240312_015

Nessus

Nessus ist der von uns präferierte Schwachstellenscanner für Allround-Szenarien. Die Ergebnisse werden in Audits und bei Vulnerability Management Projekten genutzt. Unsere Werkzeuge integrieren die Reports des Scanners über dessen RPC Schnittstelle.

Kommentare deaktiviert für Nessus Continue Reading →