Trends:Nintendo streeft naar 25 miljoen Switch 2’s tegen maart 2026.CNN’s nieuwe All Access-streamingdienst lijkt nog niet volledig geïntegreerd in CNN’s aanbodOuders ondersteunen, tieners veiligstellen: Meta’s aanpak van AI-veiligheidVakbondspersoneel EA ontevreden over Saoedisch gesteund overnamevoorstelNieuwe live shopping-functie op Twitch door Amazon AdsWaarom heeft Amazon vijf tv-streamers nodig?5 spannende dingen die u kunt verwachten van het lanceringsevenement van de vivo V60 LiteSnap voegt winkelfuncties toe aan AR-brilNieuwe aanpassingsopties en Gemini-integratie in OxygenOS 16Tesla introduceert volledig zelfrijdende modus “Mad Max” die snelheidslimieten negeertMeta stopt met ondersteuning voor Messenger-desktopappThe Crew 2 is vanaf nu offline te spelenModerators vragen om AI-controles na heroïne suggestie op Reddit AnswersWaymo gaat ook voor DoorDash rijden in PhoenixWinnaars van de Google Academic Research Award 2025 gefeliciteerdGeruchten over touchscreens op Apple’s M6-generatie MacBook ProDeepSomatic detecteert precies genetische veranderingen bij kanker.Open hardware: de toekomst van AI-datacenterinfrastructuurGoogle’s ‘Vraag om foto’s’ niet beschikbaar in Texas en IllinoisSpeel de Diamond Valley-minigame op Google Play platformBattlefield 6 verkoopt meer dan 7 miljoen exemplaren in drie dagenCyber Security Bewustzijn Maand 2025Apple TV en Peacock bundelen krachten voor $15 per maand pakketTien jaar genomics bij Google: een decennium van innovatieOntdek de impact van generatieve AI in cyberbeveiligingDolly Singh wint de Instagram Award 2025 in India!Spotify en grote muzieklabels ontwikkelen AI-muziekproductenApple en NBCUniversal lanceren Apple TV- en Peacock-bundelWaarom de innovatiestrategie van Cisco de routekaart van uw partners moet bepalen in het volgende decenniumQuantic Dream wil concurreren met League of Legends en Dota in volgende gimmickNieuw raamwerk beschermt AI gegenereerde codeSteve Jobs geëerd op Amerikaanse innovatiemunt van $ 1Onze toekomstige beroepsbevolking vooruit helpen via Cisco Networking Academy in Europa.Annuleer ExpressVPN en ontvang een volledige terugbetalingApple’s Vision Pro met M5-chip en Dual Knit Band voor $3.499Krijg 50% korting op je eerstejaarsabonnement op onze top budgetteringsappsHet aankomende verslagThreads nu met groep-DM功能Expertvisie op digitale ambities van jonge EuropeanenFujifilms Instax mini LiPlay met extra camera voor selfiesOndersteuning van tieners in hun digitale wereldVier Diwali met Instagram’s feestelijke updatesHet slimme display van Apple gaat naar verluidt $350 kostenVSCO introduceert AI-aangedreven fotobewerkingstoolRoku update met AI-stembesturing en verbeterd zoekenHonor lanceert opvouwbare camera-smartphoneApple verkoopt volgende maand PS VR2 Sense-controllers voor $250Indie-favoriet 1000xResist naar Xbox en PlayStation op 4 novemberBlockchain-partner van PayPal slaat per ongeluk $300 biljoen aan stablecoinsGoogle’s Veo 3.1 presteert beter bij het maken van video’s van afbeeldingenRazer Kiyo V2-webcams met 4K-streaming en HDRGoogle kondigt International Repair Day-evenement en Pixel-reparatiekorting aanApple’s M5-chip verbetert AI-prestaties met neurale versnellers4 Instellingen voor Pixel Buds 2a met actieve ruisonderdrukkingHoe Cisco fouten identificeert die aanvallers willen misbruikenSilent Hill 2 en Until Dawn remakes komen naar PS Plus voor HalloweenGoogle’s Gemma AI-model: nieuwe therapeutische route voor kankerRun fast, secure apps at the edge with Cisco’s smart switches.Proton VPN annuleren en geld terugkrijgenBescherming tegen oplichting: de hulp van GoogleMaak WiFi voor gasten een top marketingkanaal met Cisco en Cloud4WiNieuw AI-geoptimaliseerd datacenter in El Paso in aanbouwBall x Pit’s bevredigende grind houdt me terug voor meerApple Vision Pro geüpgraded met de M5-chip en Dual Knit BandVeilig leren met veilige tools en partnerschappenCisco nummer één in IDC MarketScape voor Enterprise WLANRing-deurbel op batterijen te koop voor $ 50!Apple introduceert M5: de volgende stap in AI-prestaties voor Apple SiliconNieuwe Veo 3.1-updates voor Flow voor AI-videobewerkingCisco UCS C880A M8 HGX B300 AI Server voor AI-workloadsWaymo lanceert volgend jaar volledig autonome taxidienst in LondenApple onthult nieuwe 14‑inch MacBook Pro met M5 chipVoeg vertrouwde contacten toe voor herstel Google-accountXiaomi’s herfstactie: het beste waar voor je geldApple onthult eerste M5-laptop: 14-inch MacBook ProApple onthult krachtige nieuwe iPad Pro met M5-chipRijd met Sonic op Waze!Japan verzoekt OpenAI om manga- en anime-inhoud te respecterenGemeenschappelijke dreigingsthema’s: verdediging tegen zijwaartse bewegingGratis een extra jaar ondersteuning voor Windows 10 krijgenTherabody lanceert TheraFace Mask Glo met LED’s tegen rimpelsVerbeterde Nova 7 gamingheadset van SteelSeries heeft langere batterijduurEU-infrastructuurschulden rem op waarde AI – Cisco-onderzoekX test meer informatie tonen op profielen tegen niet-authentieke betrokkenheid20 jaar Cisco-crisisrespons: van orkaan Katrina tot Helene – nadenken over veerkracht.Sommige Spotify-videopodcasts verschijnen op NetflixNieuwe Meta AI-functies verbeteren Ray-Ban-bril in IndiaVanaf december kunnen volwassenen ChatGPT van OpenAI gebruiken voor eroticaAfstandsbediening voor Kobo ereadersDiscord ontkent hack na recente inbreukDirecTV vervangt screensavers door AI-advertenties volgend jaarSamsung onthult Android XR-hoofdtelefoon tijdens Galaxy-evenement op 21 oktoberInsider perspectief op CCNP automatiseringstraject: DCNAUTO 2.0Gregg Mayles verlaat Rare na Banjo-Kazooie-regieMeta verwijdert Facebook-groep vanwege druk van DOJGoogle past zoekresultaten aan om boete van EU te ontwijkenOpenAI richt adviesraad op voor welzijn en AI.Probeer deze bewerkingsinstructies voor Google Foto’s – Geef ze een kans!Cisco Partner Experience Platform AI 2025 voor groei en ontwikkelingYouTube rolt wereldwijd nieuwe videospeler uit
Trends:Nintendo streeft naar 25 miljoen Switch 2’s tegen maart 2026.CNN’s nieuwe All Access-streamingdienst lijkt nog niet volledig geïntegreerd in CNN’s aanbodOuders ondersteunen, tieners veiligstellen: Meta’s aanpak van AI-veiligheidVakbondspersoneel EA ontevreden over Saoedisch gesteund overnamevoorstelNieuwe live shopping-functie op Twitch door Amazon AdsWaarom heeft Amazon vijf tv-streamers nodig?5 spannende dingen die u kunt verwachten van het lanceringsevenement van de vivo V60 LiteSnap voegt winkelfuncties toe aan AR-brilNieuwe aanpassingsopties en Gemini-integratie in OxygenOS 16Tesla introduceert volledig zelfrijdende modus “Mad Max” die snelheidslimieten negeertMeta stopt met ondersteuning voor Messenger-desktopappThe Crew 2 is vanaf nu offline te spelenModerators vragen om AI-controles na heroïne suggestie op Reddit AnswersWaymo gaat ook voor DoorDash rijden in PhoenixWinnaars van de Google Academic Research Award 2025 gefeliciteerdGeruchten over touchscreens op Apple’s M6-generatie MacBook ProDeepSomatic detecteert precies genetische veranderingen bij kanker.Open hardware: de toekomst van AI-datacenterinfrastructuurGoogle’s ‘Vraag om foto’s’ niet beschikbaar in Texas en IllinoisSpeel de Diamond Valley-minigame op Google Play platformBattlefield 6 verkoopt meer dan 7 miljoen exemplaren in drie dagenCyber Security Bewustzijn Maand 2025Apple TV en Peacock bundelen krachten voor $15 per maand pakketTien jaar genomics bij Google: een decennium van innovatieOntdek de impact van generatieve AI in cyberbeveiligingDolly Singh wint de Instagram Award 2025 in India!Spotify en grote muzieklabels ontwikkelen AI-muziekproductenApple en NBCUniversal lanceren Apple TV- en Peacock-bundelWaarom de innovatiestrategie van Cisco de routekaart van uw partners moet bepalen in het volgende decenniumQuantic Dream wil concurreren met League of Legends en Dota in volgende gimmickNieuw raamwerk beschermt AI gegenereerde codeSteve Jobs geëerd op Amerikaanse innovatiemunt van $ 1Onze toekomstige beroepsbevolking vooruit helpen via Cisco Networking Academy in Europa.Annuleer ExpressVPN en ontvang een volledige terugbetalingApple’s Vision Pro met M5-chip en Dual Knit Band voor $3.499Krijg 50% korting op je eerstejaarsabonnement op onze top budgetteringsappsHet aankomende verslagThreads nu met groep-DM功能Expertvisie op digitale ambities van jonge EuropeanenFujifilms Instax mini LiPlay met extra camera voor selfiesOndersteuning van tieners in hun digitale wereldVier Diwali met Instagram’s feestelijke updatesHet slimme display van Apple gaat naar verluidt $350 kostenVSCO introduceert AI-aangedreven fotobewerkingstoolRoku update met AI-stembesturing en verbeterd zoekenHonor lanceert opvouwbare camera-smartphoneApple verkoopt volgende maand PS VR2 Sense-controllers voor $250Indie-favoriet 1000xResist naar Xbox en PlayStation op 4 novemberBlockchain-partner van PayPal slaat per ongeluk $300 biljoen aan stablecoinsGoogle’s Veo 3.1 presteert beter bij het maken van video’s van afbeeldingenRazer Kiyo V2-webcams met 4K-streaming en HDRGoogle kondigt International Repair Day-evenement en Pixel-reparatiekorting aanApple’s M5-chip verbetert AI-prestaties met neurale versnellers4 Instellingen voor Pixel Buds 2a met actieve ruisonderdrukkingHoe Cisco fouten identificeert die aanvallers willen misbruikenSilent Hill 2 en Until Dawn remakes komen naar PS Plus voor HalloweenGoogle’s Gemma AI-model: nieuwe therapeutische route voor kankerRun fast, secure apps at the edge with Cisco’s smart switches.Proton VPN annuleren en geld terugkrijgenBescherming tegen oplichting: de hulp van GoogleMaak WiFi voor gasten een top marketingkanaal met Cisco en Cloud4WiNieuw AI-geoptimaliseerd datacenter in El Paso in aanbouwBall x Pit’s bevredigende grind houdt me terug voor meerApple Vision Pro geüpgraded met de M5-chip en Dual Knit BandVeilig leren met veilige tools en partnerschappenCisco nummer één in IDC MarketScape voor Enterprise WLANRing-deurbel op batterijen te koop voor $ 50!Apple introduceert M5: de volgende stap in AI-prestaties voor Apple SiliconNieuwe Veo 3.1-updates voor Flow voor AI-videobewerkingCisco UCS C880A M8 HGX B300 AI Server voor AI-workloadsWaymo lanceert volgend jaar volledig autonome taxidienst in LondenApple onthult nieuwe 14‑inch MacBook Pro met M5 chipVoeg vertrouwde contacten toe voor herstel Google-accountXiaomi’s herfstactie: het beste waar voor je geldApple onthult eerste M5-laptop: 14-inch MacBook ProApple onthult krachtige nieuwe iPad Pro met M5-chipRijd met Sonic op Waze!Japan verzoekt OpenAI om manga- en anime-inhoud te respecterenGemeenschappelijke dreigingsthema’s: verdediging tegen zijwaartse bewegingGratis een extra jaar ondersteuning voor Windows 10 krijgenTherabody lanceert TheraFace Mask Glo met LED’s tegen rimpelsVerbeterde Nova 7 gamingheadset van SteelSeries heeft langere batterijduurEU-infrastructuurschulden rem op waarde AI – Cisco-onderzoekX test meer informatie tonen op profielen tegen niet-authentieke betrokkenheid20 jaar Cisco-crisisrespons: van orkaan Katrina tot Helene – nadenken over veerkracht.Sommige Spotify-videopodcasts verschijnen op NetflixNieuwe Meta AI-functies verbeteren Ray-Ban-bril in IndiaVanaf december kunnen volwassenen ChatGPT van OpenAI gebruiken voor eroticaAfstandsbediening voor Kobo ereadersDiscord ontkent hack na recente inbreukDirecTV vervangt screensavers door AI-advertenties volgend jaarSamsung onthult Android XR-hoofdtelefoon tijdens Galaxy-evenement op 21 oktoberInsider perspectief op CCNP automatiseringstraject: DCNAUTO 2.0Gregg Mayles verlaat Rare na Banjo-Kazooie-regieMeta verwijdert Facebook-groep vanwege druk van DOJGoogle past zoekresultaten aan om boete van EU te ontwijkenOpenAI richt adviesraad op voor welzijn en AI.Probeer deze bewerkingsinstructies voor Google Foto’s – Geef ze een kans!Cisco Partner Experience Platform AI 2025 voor groei en ontwikkelingYouTube rolt wereldwijd nieuwe videospeler uit
Cisco is vereerd om partner te zijn van de Black Hat NOC (Network Operations Center), als de officiële Security Cloud Provider. Dit was ons 9e jaar dat we Black Hat Asia ondersteunden.
We werken samen met andere officiële providers om de hardware, software en ingenieurs te leveren die nodig zijn om het Black Hat-netwerk te bouwen en te beveiligen: Arista, Corelight, MyRepublic en Palo Alto Networks.
De primaire missie in de NOC is netwerkweerbaarheid. De partners bieden ook geïntegreerde beveiliging, zichtbaarheid en automatisering, een SOC (Security Operations Center) binnen de NOC.
Op schermen buiten de NOC gaven partnerdashboards deelnemers de kans om het volume en de beveiliging van het netwerkverkeer te bekijken.
Cisco trad in 2016 toe tot de Black Hat NOC als partner om geautomatiseerde malware-analyse te bieden met Threat Grid. De bijdragen van Cisco aan het netwerk- en beveiligingsbeheer evolueerden, met de behoeften van de Black Hat-conferentie, om meer componenten van de Cisco Security Cloud te omvatten.
Wanneer de partners zich klaarmaken voor elke conferentie, richten we in drie dagen een eersteklas netwerk- en beveiligingsoperatiecentrum in. Onze primaire missie is netwerkbeschikbaarheid, met betere geïntegreerde zichtbaarheid en automatisering. Black Hat heeft de keuze uit tools uit de beveiligingsindustrie en geen enkel bedrijf kan zijn weg kopen naar de NOC. Het is alleen op uitnodiging, met als doel diversiteit in partners en de verwachting van volledige samenwerking.
Als een NOC-team bestaande uit veel technologieën en bedrijven, innoveren en integreren we voortdurend om een algehele SOC-cyberbeveiligingsarchitectuuroplossing te bieden. 10: Black Hat automatiseringsscherm
Workflows Beschrijving
Met behulp van de Splunk Search API: Maak of Update XDR Incident
Fig. 11: Workflows voor XDR-incidentcreatie vanuit Splunk
Deze workflows zijn ontworpen om elke vijf minuten uit te voeren en de Splunk Cloud-instantie te doorzoeken naar nieuwe logs die voldoen aan bepaalde vooraf gedefinieerde criteria. Als er nieuwe logs zijn gevonden sinds de laatste run, worden de volgende acties uitgevoerd voor elk van hen:
Maak een waarneming in XDR private intelligence, inclusief verschillende informatie die nuttig is voor analyse tijdens een incidentonderzoek (bijv. bron-IP, bestemmings-IP en/of domein, bestemmingspoort, geautoriseerde of geblokkeerde actie, pakketpayload, enz.). Deze waarschuwingen kunnen vervolgens worden gebruikt om een incident te maken of bij te werken (zie volgende stappen), maar ook om het onderzoek van de analist te verrijken (XDR Investigate) zoals andere geïntegreerde modules.
Link de waarneming aan een bestaande of nieuwe dreigingsindicator
Maak een nieuw XDR-incident aan of werk een bestaand incident bij met de nieuwe waarneming en MITRE TTP.
Om een bestaand incident bij te werken, maakt de workflow gebruik van de hieronder beschreven methode, waardoor de analist een volledig beeld krijgt van de verschillende stadia van een incident, en kan identificeren of het potentieel deel uitmaakt van een Trainingslab (meerdere Assets die dezelfde acties uitvoeren):
Als er een XDR-incident is met dezelfde observeerbaren die verband houden met dezelfde indicator, werk dan het incident bij.
Zo niet, controleer dan of er een XDR-incident is met dezelfde observeerbaren en alleen als het observeerbare type IP of Domein is, werk dan het incident bij.
Zo niet, controleer of er een XDR-incident bestaat met hetzelfde doelasset, werk dan het incident bij.
Zo niet, maak een nieuw incident aan.
Fig. 12: Voorbeeld van incident gemaakt door de workflow
25: Hoog niveau overzicht van de workflow
Samenvoegen XDR-incident
Cisco XDR maakt gebruik van verschillende geavanceerde technieken om een keten van aanvallen te identificeren en verschillende gerelateerde beveiligingsdetecties samen te voegen in één incident. Soms kan echter alleen het eigen onderzoek van de analist de link tussen de twee onthullen. Het was belangrijk voor analisten om de optie te hebben om, wanneer ze deze link ontdekken, meerdere incidenten samen te voegen tot één en de eerder gegenereerde incidenten te sluiten.
We hebben deze workflow met dat in gedachten ontworpen.
Tijdens de identificatiefase kan de analist deze uitvoeren vanuit de “incident samenvoegen” taak in het Incident playbook van een van hen.
Fig. 26: Initieel incident vóór de samenvoegingsactie
Fig. 27: Playbook actie
Tijdens uitvoering worden analisten gevraagd om de observatieven te selecteren die deel uitmaken van het huidige incident waarin ze willen zoeken naar andere incidenten die ze bevatten.
Fig. 28: Selecteer observaties bij taakuitvoering
Vervolgens zoekt de workflow in XDR naar andere incidenten met dezelfde observaties en meldt de gevonden incidenten in de notities van het huidige incident.
Fig. 29: Gevonden incidenten
Vervolgens worden analisten via een prompt uitgenodigd om te beslissen en de criteria aan te geven op basis waarvan ze de samenvoeging zouden willen baseren.
Fig. 30: Voorbeeld prompt
De prompts bevatten:
Alle incidenten – Accepteer de lijst van gevonden incidenten en voeg ze allemaal samen
Handmatige lijsten van incidenten – Voer handmatig de identificatie van de incidenten in die u wilt samenvoegen; de lijst kan de identificatie van een incident bevatten dat is ontdekt door de workflow of een ander incident dat is ontdekt door de analist
Samenvoegen in een nieuw incident of In het meest recente
Sluit andere incidenten – Ja/Nee
Vervolgens haalt de workflow alle informatie uit het geselecteerde incident en creëert een nieuw incident met al deze informatie (of bijwerkt het meest recente incident).
Fig. 31: Nieuw incident na samenvoeging
Om het leven van onze bedreigingsjagers rijker te maken met meer context van onze en onze partners’ tools, hebben we Splunk Enterprise Security Cloud geïntroduceerd op het laatste Black Hat Europe 2024-evenement om detecties van Cisco XDR, Secure Malware Analytics, Umbrella, ThousandEyes, Corelight OpenNDR en Palo Alto Networks Panorama in te laden en te visualiseren in functionele dashboards voor executive rapportage. De Splunk Cloud-instantie was geconfigureerd met de volgende integraties:
Cisco XDR en Cisco Secure Malware Analytics, met behulp van de Cisco Security Cloud-app
Cisco Umbrella, met behulp van de Cisco Cloud Security App voor Splunk
ThousandEyes, met behulp van de Splunk HTTP Event Collector (HEC)
Corelight, met behulp van de Splunk HTTP Event Collector (HEC)
Palo Alto Networks, met behulp van de Splunk HTTP Event Collector (HEC)
De ingeladen data voor elk geïntegreerd platform werd gedeponeerd in hun respectievelijke indexes. Dat maakte gegevenszoekopdrachten voor onze bedreigingsjagers overzichtelijker. Zoeken naar gegevens is waar Splunk uitblinkt! En om dat allemaal te laten zien, werden belangrijke gegevens uit deze dataset omgezet in verschillende dashboards in Splunk Dashboard Studio. Het team gebruikte het SOC-dashboard van het laatste Black Hat Europe 2024 als basis en verbeterde het. Het aanvullende werk bracht meer informatieve widgets met zich mee die de SOC-dashboard opsplitsen in de volgende 4 gebieden voor gestroomlijnde rapportage:
1. Incidenten
Fig. 32: Incidenten dashboard
2. DNS
Fig. 33: DNS-dashboard
3. Netwerkinbraak
Fig. 34: Netwerkinbraak-dashboard
4. Netwerkmetrieken
Fig. 35: Netwerkmetrieken-dashboard
Met als doel voor ons op Black Hat een ‘SOC binnen een NOC’ te zijn, waren de executive dashboards een weerspiegeling van het samenbrengen van netwerk- en beveiligingsrapportage. Dit is heel krachtig en zal worden uitgebreid bij toekomstige Black Hat-evenementen, om meer functionaliteit toe te voegen en het gebruik ervan uit te breiden als een van de primaire consoles voor onze bedreigingsjagers, evenals rapportagedashboards op grote schermen in het NOC.
Bedreigingsjagershoek
Geschreven door: Aditya Raghavan en Shaun Coulter
In de Black Hat Asia 2025 NOC, werkte Shaun de ochtenddiensten en Aditya de middagdiensten zoals gebruikelijk. In tegenstelling tot eerdere jaren hadden beide jagers veel konijnenholen om in te duiken en kwamen ze terecht op een plek van “betrokken vreugde” voor beiden.
Activiteiten met betrekking tot malware die zou worden geblokkeerd op een bedrijfsnetwerk, moeten worden toegestaan, binnen de grenzen van de Black Hat Gedragscode.
Vissen met malware: Wie heeft de vis gevangen?
Alles begon met ongebruikelijke netwerkactiviteit die afkomstig was van een apparaat in een laboratoriumklas. Gebeurt dat niet altijd?
“Kijk verder dan het eindpunt.”
Een gezegde dat dagelijks tot leven komt op Black Hat
Er werd een apparaat gevonden dat verbinding maakte met een website die als verdacht werd aangemerkt door dreigingsinlichtingssystemen. Vervolgens werd deze website benaderd via een direct IP-adres, wat nogal ongebruikelijk is. En om het allemaal af te maken, wisselde het apparaat inloggegevens uit in platte tekst.
Klinkt als uw typische phishing-incident, en het deed de wenkbrauwen van onze jagers fronsen. De initiële hypothese was dat een apparaat was gecompromitteerd in een phishing-aanval. Gezien de aard van het verkeer – bi-directionele communicatie met een bekende verdachte website – leek dit op een klassiek geval van een phishing-exploit. We gebruikten Cisco XDR om deze detecties te correleren in een incident en de betrokken verbindingen te visualiseren.
Fig. 36: Mogelijk succesvol scherm voor phishing
Zoals blijkt uit de onderstaande screenshot, startte een detectie van Corelight OpenNDR voor mogelijke phishing dit op. Verder onderzoek onthulde vergelijkbare verkeerspatronen van andere apparaten binnen de conferentiezaal, dit keer op het algemene Wi-Fi-netwerk ook.
Fig. 37: Corelight OpenNDR-detecties
De bestemming voor al deze apparaten, 139.59.108.141, was door alphaMountain.ai dreigingsinlichtingen aangemerkt als verdacht.
Fig. 38: Verdachte vlaggen
Dankzij de geïmplementeerde automatisering om Umbrella Identities te bevragen, werd de locatie van het apparaat snel bevestigd als behorend tot de klasse Advanced Malware Traffic Analysis. De jagers gebruikten deze functie telkens met succes, waardoor werd besloten om dit workflow te automatiseren en voor elke incident uit te voeren, zodat de jagers deze data direct bij de hand hebben als eerste stap bij het onderzoeken van het incident.
Als volgende stap doken onze bedreigingsjagers zoals verwacht in Cisco Splunk Cloud om de logs te onderzoeken voor aanvullende context. Dit onderzoek bracht belangrijke inzichten aan het licht, zoals dat het verkeer van het apparaat in platte tekst was, waardoor de payload kon worden geëxtraheerd. Deze ontdekking was essentieel omdat het onthulde dat dit geen typische phishingaanval was, maar onderdeel van een trainings oefening.
Daarnaast werd ontdekt dat verschillende andere apparaten uit hetzelfde subnet ook communiceerden met dezelfde verdachte bestemming. Deze apparaten vertoonden bijna identieke verkeerspatronen, wat de theorie ondersteunde dat dit deel uitmaakte van een laboefening.
De variatie in het verkeersvolume van de verschillende apparaten suggereerde dat verschillende studenten zich in verschillende stadia van het lab bevonden. 44: DNS-zoekvolume naar het verdachte domein
Christian Clasen breidde het onderzoek uit buiten de categorie “Phishing” en vond veel zoekopdrachten voor domeinen binnen een kort tijdsbestek voor twijfelachtige categorieën van adware, malware en adult sites.
Fig. 45: Domeinzoekopdrachten
Op dit apparaat werd dit gevolgd door een omweg naar een piratenwebsite voor het streamen van video’s (mogelijk per ongeluk geklikt). Deze website startte vervolgens een reeks pop-ups naar verschillende websites overal inclusief meer dan 700 DNS-zoekopdrachten naar adult sites. We hebben Secure Malware Analytics gebruikt om de website te controleren, zonder zelf geïnfecteerd te raken.
Fig. 46: De verdachte site
Gezien deze mogelijke keten van acties op dat apparaat, werd hetzelfde observeerbare getest in Splunk Attack Analyzer voor dynamische interactie en analyse. Het rapport voor de videosite toonde een twijfelachtige reputatie van de site samen met indicatoren voor phishingkits en crypto-betalingen die aanwezig waren.
Fig. 47: De aanvalsanalyzer
Fig. 48: De aanvalsanalyzer
Dus, terug naar de vraag: Zijn deze allemaal met elkaar verbonden? Kijkend naar de verschillende gevallen van dergelijke verdachte DNS-zoekopdrachten, verzamelde Christian de websites die werden opgevraagd en de IP-adressen waar ze werden gehost. DNS-zoekopdrachten naar:
adherencemineralgravely[.]com
cannonkit[.]com
cessationhamster[.]com
pl24999848[.]profitablecpmrate[.]com
pl24999853[.]profitablecpmrate[.]com
playsnourishbag[.]com
resurrectionincomplete[.]com
settlementstandingdread[.]com
wearychallengeraise[.]com
alarmenvious[.]com
congratulationswhine[.]com
markshospitalitymoist[.]com
nannyirrationalacquainted[.]com
pl24999984[.]profitablecpmrate[.]com
pl25876700[.]effectiveratecpm[.]com
quickerapparently[.]com
suspectplainrevulsion[.]com
Die leidden naar bekende infrastructuur-IP’s:
172[.]240[.]108[.]68
172[.]240[.]108[.]84
172[.]240[.]127[.]234
192[.]243[.]59[.]13
192[.]243[.]59[.]20
192[.]243[.]61[.]225
192[.]243[.]61[.]227
172[.]240[.]108[.]76
172[.]240[.]253[.]132
192[.]243[.]59[.]12
Die bekend zijn in verband te staan met de ApateWeb scareware/adware-campagne. De nameservers voor deze domeinen zijn:
ns1.publicdnsservice[.]com
ns2.publicdnsservice[.]com
ns3.publicdnsservice[.]com
ns4.publicdnsservice[.]com
Dit zijn de autoriteiten voor honderden bekende malvertising domeinen:
Fig. 49: Lijst van nameservers
Gezien dat een getroffen persoon heeft erkend dat ze op een verdachte link hebben geklikt, wat resulteerde in een van de gebeurtenissen, geloven we dat deze niet gerelateerd zijn aan training en eigenlijk niet gerelateerd zijn aan elkaar. Voor een lijst van IOC’s die verband houden met deze campagne kan verwezen worden naar een Unit42-blog. Unit42’s bericht merkt op: “Het effect van deze campagne op internetgebruikers kan groot zijn, aangezien enkele honderden aanvaller-gecontroleerde websites in Tranco’s top 1 miljoen website rankinglijst zijn gebleven.” Nou, dat is een echte positief in het SOC hier.
Trufflehunter Monero Mining Aanvallen
Geschreven door: Ryan MacLennan
Als onderdeel van extra tests en het bieden van een betere effectiviteit voor ons XDR-product, hebben we een proof-of-value Firepower Threat Defense (FTD) en Firepower Management Center (FMC) geïmplementeerd. Het ontving dezelfde SPAN-verkeer als onze sensor voor XDR Analytics, maar het biedt een compleet ander scala aan mogelijkheden, namelijk de mogelijkheden voor Intrusion Detection.
Hieronder kunnen we meerdere triggers zien, vanuit een enkele host, op de FTD over een Trufflehunter Snort-handtekening. De verzoeken gaan naar meerdere externe IP-adressen met dezelfde bestemmingspoort.
Fig. 50: Verzoeken die naar externe IP-adressen gaan
Dit was interessant omdat het lijkt alsof deze gebruiker op het netwerk probeerde deze externe servers aan te vallen. De vraag was, wat is Trufflehunter, zijn deze servers kwaadaardig, is de aanval opzettelijk, of is het legitiem verkeer hier bij Black Hat voor een trainingsessie of demo?
Door een van de IP-adressen in de lijst in te voeren in VirusTotal, bleek dat het niet kwaadaardig was. Maar het gaf wel meerdere subdomeinen terug die gerelateerd waren aan dat IP. Door het top-level domein van die subdomeinen te nemen, kunnen we een verder onderzoek doen met behulp van Umbrella.
Fig. 51: Umbrella Onderzoeksvenster
Umbrella Onderzoek geeft aan dat dit domein een laag risico is en freeware/shareware is. Op dit punt kunnen we zeggen dat Command and Control niet in het spel is. Dus waarom zien we hits naar dit willekeurige IP/domein?
Fig. 52: Hits op het domein
Door het domein voor dit onderzoek in te voeren in Splunk Attack Analyzer (SAA), kunnen we de site verkennen. Eigenlijk is de eigenaar van dit domein een fervent onderzoeker van kennis en houdt ervan om met technologie te knutselen, het hoofddomein werd gebruikt om hun blog te hosten. De vele subdomeinen die ze hadden vermeld, waren voor de verschillende services die ze voor zichzelf hosten op hun site. Ze hadden een e-mailservice, Grafana, beheerderslogin en vele andere services hier gehost. Ze hadden zelfs een over-sectie zodat je de eigenaar beter kon leren kennen. Voor de privacy van de domeineigenaar zal ik hun website en andere informatie weglaten.
Nu we weten dat dit IP en domein hoogstwaarschijnlijk niet kwaadaardig zijn, bleef de vraag waarom ze het doelwit waren. Kijkend naar hun IP-adres in Shodan, stond hun IP als open met poort 18010.
Fig. 53: Shodan IP-adres weergave
Kijkend naar een paar andere IP’s die werden aangevallen, hadden ze allemaal diezelfde poort open. Dus, waar wordt die poort voor gebruikt en naar welke CVE verwijst de Snort-handtekening?
Fig. 54: Shodan weergave van aangevallen IP’s
We zien hieronder dat de Trufflehunter-handtekening gerelateerd is aan CVE-2018-3972. Het is een kwetsbaarheid die code-uitvoering toestaat als een specifieke versie van de Epee-bibliotheek wordt gebruikt op de host. In dit geval wordt de kwetsbare bibliotheek vaak gebruikt in de Monero mining applicatie.
Fig. 55: CVE-weergave
Een zoekopdracht op Google toonde aan dat poort 18080 vaak wordt gebruikt voor Monero peer-to-peer verbindingen in een miningpool. Maar dat is gebaseerd op de AI-samenvatting. Kunnen we dat echt vertrouwen?
Als we de resultaten bekijken, vinden we de officiële Monero-documenten en zij zeggen zeker om poort 18080 naar de wereld te openen als je deel wilt uitmaken van een miningpool.
Fig.
We kunnen zien dat er pogingen waren om toegang te krijgen tot deze services, maar ze waren niet succesvol omdat er geen reacties terugkwamen naar de aanvaller? Hoe kan een aanvaller servers over de hele wereld vinden om deze aanvallen uit te voeren?
Het antwoord is vrij eenvoudig. In Shodan kun je zoeken naar IP’s met poort 18080 open. De aanvaller kan dan zijn lijst samenstellen en aanvallen uitvoeren, hopend dat sommige succesvol zullen zijn. Ze hebben het waarschijnlijk geautomatiseerd, zodat er minder werk voor hen is in dit proces. Hoe kunnen wij als verdedigers en gewone mensen voorkomen dat we op zo’n lijst terechtkomen?
Als je je eigen services host en poorten naar het internet moet openen, moet je proberen je blootstelling zoveel mogelijk te beperken.
Om dit type fingerprinting/scannen te verlichten, moet je Shodan-scanners blokkeren (indien mogelijk). Ze hebben een gedistribueerd systeem en IP’s veranderen voortdurend. Als je een firewall hebt, kun je scanningsactiviteiten in het algemeen blokkeren, maar er is geen garantie dat dit alles zal voorkomen.
Als je een applicatie hebt ontwikkeld of host, zijn er andere opties zoals fail2ban, beveiligingsgroepen in de cloud, of iptables die kunnen worden gebruikt om dit soort scans te blokkeren. Deze opties stellen je in staat om al het verkeer naar de service te blokkeren, behalve van de IP’s die je toegang wilt geven.
Alternatieven voor het openen van de poort naar het internet zouden het opzetten van tunnels van de ene site naar de andere zijn of het gebruik van een service die de poort niet blootstelt maar wel externe toegang mogelijk maakt via een subdomein.
Snort ML Triggered Onderzoek
Geschreven door: Ryan MacLennan
Tijdens ons verblijf op Black Hat Asia hebben we ervoor gezorgd dat Snort ML (machine learning) was ingeschakeld. En het was zeker de moeite waard. We hadden meerdere triggers van de nieuwe Snort-functie waarbij het in staat was een mogelijke bedreiging te detecteren in de http-parameters van een HTTP-verzoek. Laten we duiken in deze nieuwe detectie en zien wat het heeft gevonden!
Als we naar de gebeurtenissen kijken, kunnen we zien dat er meerdere verschillende IP’s waren van een trainingsklas en één op het algemene Wi-Fi-netwerk die deze gebeurtenissen activeerden.
Door het evenement met het adres 192 te onderzoeken, kunnen we zien waar het specifiek op heeft gealarmeerd. Hier kunnen we zien dat het alarm sloeg op het veld ‘HTTP URI’ met de parameter ‘?ip=%3Bifconfig’. Dit lijkt op een poging om het ifconfig-commando uit te voeren op een externe server. Dit wordt meestal gedaan nadat een webshell is geüpload naar een site en het dan wordt gebruikt om het host te enumereren of om andere taken uit te voeren zoals het verkrijgen van een omgekeerde shell voor een meer interactieve shell.
In de pakketgegevens kunnen we het volledige verzoek zien dat is gedaan.
Kijkend naar een andere host die in een training zat, kunnen we zien dat de Snort ML-handtekening ook op een andere opdracht is afgegaan. Dit is precies wat we willen zien, we weten nu dat de handtekening in staat is om verschillende http-parameters te detecteren en te bepalen of ze een bedreiging vormen. In dit voorbeeld zien we de aanvaller proberen een bestanduitvoer te krijgen met behulp van het commando ‘cat’ en vervolgens het bestandspad.
Als extra hebben we wat dashboardgegevens voor je om te bekijken en de statistieken van de FTD te zien. Hieronder staat het Security Cloud Control-dashboard.
Vervolgens hebben we het FMC-overzicht. Je kunt zien hoe hoog de SSL-clientapplicatie was en wat onze encrypted visibility engine (EVE) kon identificeren.
Ten slotte hebben we een dashboard over de top landen op basis van IDS-gebeurtenissen.
Identity Intelligence
Geschreven door: Ryan MacLennan
Vorig jaar vroeg Black Hat aan Cisco Security of we de Single Sign-On (SSO) provider konden zijn voor alle partners in de Black Hat NOC. Het idee is om onze gebruikersbasis te centraliseren, toegang tot producten gemakkelijker te maken, eenvoudiger gebruikersbeheer te bieden en role-based access te tonen. We zijn begonnen met het proof-of-value op Black Hat Asia 2024 en gedeeltelijk uitgerold op Black Hat Europe 2024. We hebben met succes geïntegreerd met de partners in de Black Hat NOC om dit idee dat een jaar geleden begon mogelijk te maken. Hieronder staat een screenshot van alle producten waarmee we geïntegreerd hebben van onze partners en van Cisco.
Hieronder vind je de logins van verschillende gebruikers voor verschillende producten.
Als onderdeel hiervan bieden we ook Identity Intelligence aan. We gebruiken Identity Intelligence om de betrouwbaarheid van onze gebruikers te bepalen en ons te waarschuwen wanneer er een probleem is. We hebben echter een probleem. De meeste gebruikers zijn niet bij elke Black Hat-conferentie aanwezig en de locatie van de conferentie verandert telkens. Dit heeft invloed op de vertrouwensscores van onze gebruikers zoals je hieronder kunt zien.
Als we naar de onderstaande screenshot kijken, kunnen we enkele redenen voor de verschillen in vertrouwensscore zien. Naarmate de beheerders van de producten zich voorbereiden op de conferentie, zien we dat de logins beginnen toe te nemen in februari, maart en uiteindelijk april. Veel van de logins in februari en maart worden gedaan vanuit landen die niet in Singapore zijn.
Hieronder zien we gebruikers met hun vertrouwensniveau, hoeveel controles er mislukken, laatste login en vele andere details. Dit is een snelle blik op de houding van een gebruiker om te zien of we actie moeten ondernemen. Gelukkig zijn de meeste van deze hetzelfde probleem als eerder genoemd.
Aan het einde van elke show en nadat de partners de gegevens kunnen krijgen die ze nodig hebben van hun producten, verplaatsen we alle niet-beheerdersgebruikers van een actieve status naar een uitgeschakelde groep, zodat de Black Hat-standaard van zero-trust wordt gehandhaafd. Als de dingen te ver gaan, zullen we de juiste actie ondernemen.
Tijdens de conferentie NOC Report rapporteren de NOC-leiders ook over de Top Categorieën die gezien zijn op Black Hat.
Over het algemeen zijn we enorm trots op de samenwerkingsinspanningen hier bij Black Hat Asia, zowel door het Cisco-team als alle partners in de NOC.
We zijn al bezig met het plannen van meer innovatie bij Black Hat USA, die de eerste week van augustus 2025 in Las Vegas zal plaatsvinden.
Dank aan het Cisco NOC-team:
– Cisco Security: Christian Clasen, Shaun Coulter, Aditya Raghavan, Justin Murphy, Ivan Berlinson en Ryan Maclennan
– Meraki Systems Manager: Paul Fidler, met ondersteuning van Connor Loughlin
– ThousandEyes: Shimei Cridlig en Patrick Yong
– Aanvullende ondersteuning en expertise: Tony Iacobelli en Adi Sankar
Ook dank aan onze NOC-partners Palo Alto Networks (vooral James Holland en Jason Reverri), Corelight (vooral Mark Overholser en Eldon Koyle), Arista Networks (vooral Jonathan Smith), MyRepublic en het hele Black Hat / Informa Tech-team (vooral Grifter ‘Neil Wyler’, Bart Stump, Steve Fink, James Pope, Michael Spicer, Jess Jung en Steve Oldenbourg).
Black Hat is de meest gevestigde en diepgaande beveiligingsevenementenserie in de cybersecurity-industrie. Opgericht in 1997, bieden deze jaarlijkse meerdaagse evenementen deelnemers de nieuwste onderzoeken, ontwikkelingen en trends op het gebied van cybersecurity. Gedreven door de behoeften van de gemeenschap, tonen Black Hat-evenementen inhoud rechtstreeks vanuit de gemeenschap via presentaties, cursussen, topontmoetingen en meer. Als de evenementenserie waar alle loopbaanniveaus en academische disciplines samenkomen om samen te werken, te netwerken en te discussiëren over de meest relevante cybersecurity-onderwerpen, kunnen deelnemers Black Hat-evenementen vinden in de Verenigde Staten, Canada, Europa, het Midden-Oosten en Afrika, en Azië. Voor meer informatie kunt u terecht op de Black Hat-website.
We horen graag wat u ervan vindt. Stel een vraag, reageer hieronder en blijf verbonden met Cisco Security op social media!
Cisco Security Social Channels:
– LinkedIn
– Facebook
– Instagram
Delen: Could you please help me with this task? Ik ben van plan om dit weekend naar het strand te gaan. Ik hou van wandelen in het bos en genieten van de rust en de natuur.
Ontdek de impact van generatieve AI in cyberbeveiliging
Terwijl we in oktober de Cyber Security Awareness Month vieren, duiken we in een onderwerp dat iedereen bezighoudt: de transformerende kracht van kunstmatige intelligentie (AI) en de impact ervan op…
Waarom de innovatiestrategie van Cisco de routekaart van uw partners moet bepalen in het volgende decennium
Wanneer partners kiezen voor een technologiealliantie, gokken ze op een looptijd van tien jaar. De vraag is niet alleen: “Wat kan deze leverancier vandaag de dag te bieden hebben?” Het…
Para ofrecer las mejores experiencias, utilizamos tecnologías como las cookies para almacenar y/o acceder a la información del dispositivo. El consentimiento de estas tecnologías nos permitirá procesar datos como el comportamiento de navegación o las identificaciones únicas en este sitio. No consentir o retirar el consentimiento, puede afectar negativamente a ciertas características y funciones.
Funcional
Altijd actief
El almacenamiento o acceso técnico es estrictamente necesario para el propósito legítimo de permitir el uso de un servicio específico explícitamente solicitado por el abonado o usuario, o con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Estadísticas
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en una web o en varias web con fines de marketing similares.
redactie
