Tag Archives: tool

How to Write Simple but Sound Yara Rules – Part 3

It has been a while since I wrote „How to Write Simple but Sound Yara Rules – Part 2„. Since then I changed my rule creation method to generate more versatile rules that can also be used for in-memory detection. Furthermore new features were added to yarGen and yarAnalyzer. Binarly The most important feature of […]

Leave a comment Continue Reading →
Yara Anomaly Scanner

How to Scan for System File Manipulations with Yara (Part 2/2)

As a follow up on my first article about inverse matching yara rules I would like to add a tutorial on how to scan for system file manipulations using Yara and Powershell. The idea of inverse matching is that we do not scan for something malicious that we already know but for anomalies within the […]

9 Comments Continue Reading →
Splunk Security Monitoring

Incident Response Consulting

In den vergangenen Monaten konnten wir mehrere Kunden bei der Bewältigung und Behandlung massiver Angriffe unterstützen. Zufällige Entdeckungen im Kundennetz zeigten in allen Fällen nur die „Spitze es Eisbergs“ größerer und länger andauernder Attacken. Nachdem ein Security Incident als solcher bestätigt wird, ist die erste Frage, die sich stellt, die nach dem Umfangs des Angriffs oder […]

Leave a comment Continue Reading →
Hackeraktivitäten erkennen

THOR IRS – Incident Response Werkzeug

Das Incident Response Tool TH0R ermöglicht die Erkennung von Hackern und deren Aktivitäten auf Serversystemen. Weitere Infos zum Werkzeug finden Sie hier.

Kommentare deaktiviert für THOR IRS – Incident Response Werkzeug Continue Reading →
Checkpoint Top Speaker Analysis

Checkpoint Firewall Support und Fehleranalyse mit dem fw.log

Die Erfahrung hat gezeigt, dass es im Umfeld von Checkpoint Firewalls immer wieder dazu kommen kann, dass Firewalls ohne ersichtlichen Grund Anzeichen einer Überlastung aufweisen, indem sie für kurze Zeit nicht mehr erreichbar sind und Verbindungen mit Timeouts abbrechen. Besonders in großen Firewall-Umgebungen, mit mehreren Gigabyte an Logdaten pro Tag, stellt die Analyse derart unbestimmter […]

Leave a comment Continue Reading →
Cnonymizer

Anonymizer

Ein von uns entwickeltes Werkzeug zur Anonymisierung von Daten. Anonymizer wird auf Verzeichnisse mit Logdaten, Listen von IP-Adressen oder sonstige ASCII Inhalte  angewandt und ändert die in den Dateien enthaltenen Strings so ab, dass sie danach keine Rückschlüsse mehr auf den ursprünglichen Inhalt zulassen.

Kommentare deaktiviert für Anonymizer Continue Reading →
screenshot.100

Sawmill

Sawmill ist ein Werkzeug zur Analyse von Logdaten. Es verarbeitet die Logdaten nicht in Real-Time sondern zeitgesteuert und generiert aussagekräftige Reports, die täglich per Mail zur Kontrolle an Analysten übertragen werden können. Sawmill versteht über 150 verschiedene Log-Formate. Die Seiten des Reports sind vollständig modifizierbar, sodass man ihn genau an die Bedürfnisse anpassen kann.

Kommentare deaktiviert für Sawmill Continue Reading →