D

zielenie się zagrożeniami w branży bezpieczeństwa pozostaje głównie doraźną pracą, wypełnioną martwymi punktami, pułapkami i frustracją. W idealnym świecie prywatne firmy i agencje rządowe gromadzą i udostępniają odpowiednie, aktualne i dokładne informacje o nowych lub trwających cyberatakach tak szybko, jak to możliwe. Pozwala to innym konsumentom tych informacji uniknąć poważnych naruszeń (lub zminimalizować szkody spowodowane atakiem), a dostawcy usług, których infrastruktura (np. domeny, serwery) została wykorzystana do przeprowadzania ataków na bieżąco blokuje i usuwa wrogich klientów. Niestety nie zawsze tak jest, szczególnie jeśli chodzi o unieszkodliwianie wrogich obiektów. Niemniej istnieje OTX – Open Threat Exchange zapewniając otwarty dostęp do globalnej społeczności badaczy cyberzagrożeń i specjalistów ds. bezpieczeństwa z różnych firm.
[ czytaj całość… ]

J

akiś czas czemu firma Elastic weszła w rozwiązania typu SIEM (ang. Security Information and Event Management oraz EDR (ang. Endpoint Detection and Response). Jako, że jej rozwiązania od dawna wywodzą się z korzeni open source – firma udostępniła otwarte repozytorium reguł wykrywania różnych ataków i technik. Reguły w tym repozytorium są uporządkowane według rozwiązania lub platformy zachowując spłaszczoną strukturę. Każdy katalog zawiera od kilku do kilkunastu plików .toml, a w nich opisane reguły detekcyjne wraz z referencjami i taktykami ATT&CK. W drugim repozytorium znajdziemy artefakty zawierające logikę ochrony wykorzystywaną do zatrzymywania zagrożeń w systemach operacyjnych Windows, macOS i Linux. Obejmuje to reguły ochrony przed złośliwym oprogramowaniem napisane w EQL (ang. Event Query Language), a także sygnatury YARA stosowane zarówno do zawartości plików, jak i pamięci. Repozytoria te stanowią bardzo dużą bazę wiedzy odnośnie procesu proaktywnej detekcji zagrożeń (ang. threat hunting), którą możemy przełożyć na reguły dedykowane we własnych rozwiązaniach. Jeśli za ich pomocą nauczymy się wykrywania nowych technik i zagrożeń to świetnie! Ale jeszcze lepiej podzielić się także własną logiką wykrywania ze światem i pomóc innym podnieść poprzeczkę we własnych systemach detekcyjnych.

Więcej informacji: Continued leadership in open and transparent security

G

rupa badaczy bezpieczeństwa z Abuse (projekt Instytutu Bezpieczeństwa i Inżynierii Cybernetycznej na Uniwersytecie Nauk Stosowanych w Bernie w Szwajcarii) oraz ThreatFox uruchomiła nowy hub do skanowania i polowania na złośliwe pliki. To defensywne narzędzie – nazwane YARAify zostało zaprojektowane do skanowania podejrzanych plików w oparciu o duże repozytorium reguł YARA. Według założyciela Romana Hüssy’ego, reguły YARA są potężne, ale trudne w utrzymaniu. Na przykład: reguły są rozproszone po różnych platformach, firmach i repozytoriach git prywatnych badaczy, i nie ma prostego sposobu na ich współdzielenie. Dlatego platforma umożliwia:

• Integrację wszystkich publicznych i niepublicznych reguł YARA z Malpedii,
• Łatwy sposób na rozpakowanie plików wykonywalnych PE (Portable Executable) za pomocą jednego kliknięcia,
• Skanowanie wszystkich plików używając otwartych i komercyjnych sygnatur ClamAV,
• Łatwy i uporządkowany sposób dzielenia się regułami YARA ze społecznością,
• Konfigurowanie klasyfikacji TLP (ang. Traffic Light Protocol), aby umożliwić korzystanie z reguł YARA w celu wyszukiwania zagrożeń bez oglądania zawartości samych reguł,
• Otrzymywać powiadomienia pocztą elektroniczną lub pushover w przypadku pasujących reguł YARA, sygnatur ClamAV, imphaszy i wielu innych,
• Użycie API, które pozwala na wykorzystanie możliwości YARAify w sposób zautomatyzowany.

Więcej informacji: YARAify