Date

Education and Professional Services

Displaying 61 to 90 of 4377

SSL Decryption Deep Dive Webinar 3 Oct

Recent technology trends have led to a marked increase in the amount of TLS traffic, as it provides confidentiality and trust. However, this also presents an opportunity for attackers to hide malicious activity and calls for an even more pressing need for SSL Decryption.
  • 2

Threat Hunting 101

Join our live webinar to learn the latest techniques for more efficient threat hunting and accelerated investigations.
  • 0

Palo Alto Networks & Corsa Security Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

Firewall Migration Services

Read about our Firewall Migration Services to help you safely migrate to your new Next-generation firewall and Panorama
  • 0

Why You Need Cloud Security

Cloud security requires a strategic approach to be applied across your entire organization. By taking ownership of cloud security and partnering with the right cloud vendor, you can ensure that your organization is fully protected.
  • 1

Chinese cyberespionage group PKPLUG uses custom and off-the-shelf tools

A previously unknown group or collective associated with China is targeting victims in Asia, possibly for geopolitical gain.
  • 0
  • 96

PKPLUG: Chinese Cyber Espionage Group Attacking Asia

For three years, Unit 42 has tracked a set of cyber espionage attack campaigns across Asia, which used a mix of publicly available and custom malware. Unit 42 created the moniker “PKPLUG” for the threat actor group, or groups, behind these and other documented attacks referenced later in this report. We say group or groups as our current visibility doesn’t allow us to determine with high confidence if this is the work of one group, or more than one group which uses the same tools and has the same tasking. The name comes from the tactic of delivering PlugX malware inside ZIP archive files as part of a DLL side-loading package. The ZIP file format contains the ASCII magic-bytes “PK” in its header, hence PKPLUG.
Alex Hinchliffe,
  • 0

Cyber espionage actor PKPLUG keeps plugging away at targeting SE Asia

Drawing on three years of investigatory work, researchers have assembled a detailed playbook on PKPLUG, a suspected Chinese threat actor targeting Asians with an assortment of malware used for cyber espionage purposes.
  • 0
  • 126

Report: 'PKPLUG' Espionage Campaign Targets Southeast Asia

Unit 42 Researchers Describe Malware Attacks That May Have Ties to China
  • 0
  • 89

Next-Generation Firewall Demo

To learn how our NGFWs simplify security and minimize risk
  • 3
  • 5870

Palo Alto Networks VM-Series and Nutanix Flow Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

URL Filtering Best Practices - Making Your Web Security Policies Work for You

As attackers evolve and progress, organizations require increased flexibility that goes beyond the traditional binary categorization and policies for URLs.
  • 0

Visibility, Compliance and Control across the Application Lifecycle

Learn how to secure your cloud applications using advanced protections delivered via a frictionless approach.
  • 1

Palo Alto Networks & Micro Focus ArcSight Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

Lightboard Series: VM-Series for Azure Overview

Lightboard Series: VM-Series for Azure Overview
  • 1
  • 332

Webinar #3: Discover How Your Students Can Become Safe Cyber Citizen (Webinar Series: Part 3 of 3)

In Part 3 of this 3-part series, we explore what resources are available toprincipals and faculty to teach effective cybersecurity habits to students,to enhance their education and protect the school.
  • 0

Bridge The Gap Between Schools And Cybersecurity With Palo Alto Networks (Webinar Series: Part 1 of 3)

In the first of this 3-part series, we will set the base for a holistic approach to turn these challenges into opportunity and success.
  • 0

Three Use Cases for Securing a Hybrid Data Center

Securing the modern, hybrid data center requires a uniform approach across physical, virtualized, and cloud environments. The key is to gain granular visibility, control, and consistent threat protection in your hybrid data center without added complexity.
  • 1

Technology Deep Dive for the Hybrid Data Center: Cisco ACI and Palo Alto Networks

Hear real-world use cases and best practices for deploying Cisco ACI and Palo Alto Networks technologies together in your modern hybrid data center.
  • 0

Palo Alto Networks Makes Cybersecurity Simple For K-12 (Webinar Series: Part 2 of 3)

In Part 2 of this 3-part series, we dig into how CIO/CISOs and security teams can prevent successful attacks and still have time to do everything else on their plate.
  • 0

Unit 42 Greatest Hits eBook

This interactive explores some of Unit 42's biggest contributions to threat hunting and threat intelligence research.
  • 0

Transit VPC with the VM-Series

  • 0

Simplify and Strengthen Enterprise Security

In this kit, you’ll be able to access guides and white papers to help evaluate the people, processes and technology you need to successfully select and purchase the right EDR for your organization.
  • 0

What Is a Hybrid Data Center?

A hybrid data center is an evolution strategy that allows for creating the right mix of cloud and traditional IT that best suits your organizational needs.
  • 1

Unit 42、クウェートの海運・運輸関連組織へのサイバー攻撃キャンペーン「xHunt」を発見

エグゼクティブサマリー パロアルトネットワークス脅威インテリジェンス調査チームUnit 42は、2019年5月から6月にかけて、クウェートの輸送・海運組織を狙い、未知のツールを使う攻撃キャンペーンを発見しました。 この攻撃キャンペーンにおける最初の既知の攻撃はクウェートの運送会社を標的にしており、同キャンペーンで攻撃者はHisokaという名前のバックドアツールをインストールしていました。また、エクスプロイト後の活動を実行するため、後からカスタムツールがいくつかシステムにダウンロードされていました。これらのツールはすべて、同じ開発者によって作成されたようです。 私たちはこれらツールの亜種を複数収集しましたが、そのうち1つは2018年7月にまで遡ります。収集されたツールの開発者は、アニメ―ション シリーズ「Hunter x Hunter」の登場人物名を使用しており、これがキャンペーン名「xHunt」のもとになりまました。収集されたツール名には、バックドアツールSakabota、Hisoka、Netero、Killuaが含まれます。 これらツールの特定亜種は、コマンド アンド コントロール(C2)チャネルとしてHTTPだけでなくDNSトンネリングや電子メールも使用していました。DNSトンネリングはC2チャネルによく利用されますが、同攻撃グループがC2通信の実現に使った電子メールによるある方法は、かなり前からUnit 42では観測していない種類のものでした。 その方法とは、Exchange Web Services(EWS)と窃取された資格情報を使用して、電子メール「ドラフト」を作成することにより、アクター・ツールの通信を行うというものです。また私たちは前述のバックドアツールに加えてGon、EYEと呼ばれるツールも観測しました。これらのツールは、バックドアへのアクセス、エクスプロイト後の活動を実現するものです。 さらに、比較分析により、2018年7月から12月までの間にやはりクウェートを対象とした関連活動があったことを特定しました。同活動については、IBM X-Force IRISが最近レポートを公表しています。2つのキャンペーンに直接インフラの重複はありませんが、過去データの分析から、2018年と2019年の活動は関連している可能性が高いことが示されています。 活動の概要 2019年5月19日、inetinfo.sysという名前をつけられた悪意のあるバイナリが発見されました。同バイナリは、クウェートの海運・運輸セクターのある組織のシステムにインストールされていました。同ファイルinetinfo.sysはHisokaと呼ばれるバックドアの亜種で、コード内にはそれがバージョン0.8であることが明記されていました。残念ながら、このHisokaというバックドアをインストールするために、最初にシステムにアクセスした方法が何であったかについては、私たちの手元にテレメトリ データがありません。 ですが、Hisokaを介してシステムにアクセス後2時間以内に、アクターはGon、EYEという2つの追加ツールを展開していました。これらツール名は、Gon.sys、EYE.exeというファイル名に由来しています。高レベルでは、アクターはGonツールを使うことでリモート システムのオープン ポートをスキャンし、ファイルをアップロード/ダウンロードし、スクリーンショットを撮り、ネットワーク上の他のシステムを見つけ、リモート システムでコマンドを実行し、リモート デスクトップ プロトコル(RDP)セッションを作成することができるようになります。図1に示すように、アクターはGonをコマンドライン ユーティリティとしても、グラフィカル ユーザー インターフェイス(GUI)経由でも使用できます。 図1 GonのGUI   アクターはまた、EYEツールを安全に脱出するための手段としてとして使います。自身がRDP経由でシステムにログイン中に正規のユーザーがログインすると、同ツールがアクターが作成したすべてのプロセスを強制終了し、他の識別アーティファクトを削除するようになっています。付録にGonとEYEの詳細を記載しますので、詳しくはこちらを参照してください。 私たちはさらにデータセット内を探索し、同脅威攻撃グループが標的としたクウェートの海運・運送セクターの組織がもうひとつあることも特定しました。この組織の場合、2019年6月18日から30日の間に攻撃者がHisokaツールをインストールしており、使用されたバージョンは0.9であることがnetiso.sysに記載されていました。同年6月18日、このファイルは社内ITサービスデスクのアカウントからサーバー メッセージ ブロック(SMB)プロトコルを介して別のシステムに転送された様子が観測されています。そのすぐ後、otc.dllという名前のファイルも同じ方法で転送されていたことが確認されました。 このotc.dll というファイルがKilluaと名付けられた単純なバックドア ツールで、攻撃者はこれをDNSトンネリングでのやりとりを介して感染システム上で実行するコマンドをC2サーバーから発行するために使います。 文字列比較の結果、私たちは高い確度でKilluaとHisokaの両ツールが同一開発者により作成されたものと考えています。最初にKilluaが観測されたのは2019年6月で、その後私たちは同ツールがHisokaが進化形である可能性があると考えるに至りました。Killuaツールの詳細は、付録を参照してください。 6月30日、私たちは同攻撃者による非常に興味深い関連活動を観測しました。サードパーティのヘルプデスクサービス アカウントを使用し、ファイルをネットワーク上の別のシステムにコピーしたのです。この活動は、別のHisoka v0.9ファイルの転送から始まり、30分というタイムフレーム内で2つの異なるKilluaファイルの転送が続きました。 前述の活動で特定されたツールは、同じ開発者によって作成されたように見えます。というのも、これらはすべて「Hunter x Hunter」の登場人物にちなんだ名前が付けられているか、なんらかのアニメ番組への言及が見られるからです。 Hisokaの電子メールベースC2 分析中私たちはHisokaの2つの異なるバージョン、具体的にはv0.8とv0.9を特定しました。どちらも2つのクウェート組織のネットワークにインストールされていたものです。どちらのバージョンにも、攻撃者により侵害システムを制御できるようにするコマンド セットが含まれています。またどちらのバージョンでも、アクターはHTTPないしDNSトンネリング経由でコマンド アンド コントロール(C2)チャネルを介した通信を行うことができます。ただし、v0.9には電子メールベースのC2チャネル機能が追加されています。これら2亜種のより詳細な分析は、付録を参照してください。 Hisoka v0.9に追加された電子メールベースのC2通信機能は、Exchange Web...
Robert FalconeBrittany Ash,
  • 0

Palo Alto Networks & Mnemonic Integration Guide

For technical details and to configure the integration between our two products, download this integration guide.
  • 0

Palo Alto Networks & Mnemonic Joint Solution Brief

To learn more about the key benefits of implementing this integration and sample use cases, download the solution brief.
  • 0
Displaying 61 to 90 of 4377