Introduction to Sigma Rules and Detection of Credential Harvesting

Introduction to Sigma Rules and Detection of Credential Harvesting

insikt-logo-blog.png

Editor’s NoteLe message suivant est un extrait d'un rapport complet. Pour lire l'analyse complète, click here to download the report as a PDF.

Recorded Future’s Insikt Group created detections to run with SIEM software and incident response guides for 4 popular credential harvesting tools. Sources included the Recorded Future® Platform, Malpedia, PolySwarm, reverse engineering and open-source intelligence (OSINT) enrichments. The target audience for this research includes security practitioners, network defenders, and threat intelligence professionals who are interested in protecting organizations from credential harvesting tools.

Executive Summary

L'utilisation d'outils de collecte d'informations d'identification est un moyen courant et efficace pour les acteurs malveillants d'obtenir un accès supplémentaire à votre infrastructure. Les détails d'un incident Ryuk récent révèlent une procédure en 15 étapes visant à compromettre les victimes, dont deux impliquent l'utilisation des outils de collecte d'identifiants Mimikatz et LaZagne. Ces outils ont été utilisés pour se déplacer latéralement dans l'environnement de la victime et compromettre d'autres hôtes sur le réseau.

This article details our research regarding Sigma based detection rules for Mimikatz, LaZagne, T-Rat 2.0, and Osno Stealer. Additionally, we provide an initial incident priority level and a high-level response procedure to help security operations teams respond to credential harvesting incidents.

Les règles Sigma fournies par le projet open source Sigma et les règles personnalisées développées par Recorded Future (disponibles uniquement pour les clients existants) offrent une fonctionnalité puissante pour détecter et répondre à la collecte d'informations d'identification à l'aide des solutions SIEM existantes. Lorsqu'elles sont associées à une journalisation basée sur l'hôte correctement configurée, à l'aide d'outils tels que Sysmon, les règles Sigma peuvent améliorer la capacité d'une organisation à détecter et à répondre aux menaces avec une précision et une efficacité accrues.

Sigma is a standardized rule syntax which can be converted into many different SIEM-supported syntax formats. The Recorded Future Platform allows clients to access and download Sigma rules developed by Insikt Group for use in their organizations.

Key Judgements

Editor’s NoteCet article est un extrait d'un rapport complet. Pour lire l'analyse complète, click here to download the report as a PDF.