cirosec GmbH

Unsere Kollegen Patrick Bäuerle und Stefan Strobel haben für die iX‑Ausgabe 07/2026 einen Artikel mit einer Produktübersicht zu Security‑Data‑Pipeline‑Lösungen verfasst. Die Flut an Log- und Eventdaten aus den verschiedenen IT-Systemen, Services und Anwendungen ist für die Erkennung von Sicherheitsvorfällen kaum mehr zu beherrschen. Security Data Pipeline Platforms sind eine neue Produktkategorie zwischen SOC, SIEM und XDR. Sie filtern die Daten vor, leiten sie weiter und reichern sie mit zusätzlichen Informationen an. Das Heft gibt es ab heute im Handel. Online kann man den Artikel unter https://t.co/XyoA2CJ5Ku.

In this second part of our series, we continue our investigation into a malware campaign that targets users by impersonating well-known software websites. As we tracked the campaign, we observed the malware evolving and becoming more complex. The current version differs from the one discussed in part 1 by introducing more powerful functions: the malware uses a local webserver that acts as a direct command-execution backdoor and a custom-deployed chrome browser extension designed for sophisticated credential theft. Find out more in our blog post at https://t.co/o7PBKyJEUt.

In the first part of the blogpost we highlighted the detection capabilities and the resulting evasion options for Microsoft Defender for Identity (DfI). Now in this second part we present some alternative detection possibilities for the defensive side to improve visibility and security, as well as the upgrade from DfI version 2.2 to DfI version 3.0. You can find it on our website at https://t.co/NfszH1k9fg.

Microsoft Defender for Identity (DfI) is one of Microsoft’s key solutions for detecting identity-based attacks in Active Directory environments - but how well does it hold up against a skilled attacker? In this first part of a two-part blog post series, we dive into DfI’s detection capabilities for high-impact attacks such as shadow credentials, pass-the-cert, ESC8, and DCSync. Additionally, the blog post uncovers a spoofing and relaying vulnerability in DfI’s Network Name Resolution component that can be used to evade multiple alerts, and offers blue team perspectives on closing these gaps. Find out more at https://t.co/svdNJrhLgt.

Angesichts des wachsenden Drucks durch Angriffe professioneller Ransomware-Gruppen steigt für Unternehmen und öffentliche Einrichtungen die Notwendigkeit, ihre Organisation widerstandsfähiger aufzustellen. Ein zentraler Ansatz dafür sind Penetrationstests und weiterführende technische Sicherheitsüberprüfungen wie Innentäteranalysen oder Red Teaming. Doch worin unterscheiden sich diese Methoden und für welche Zielgruppen eignet sich welche Prüfung? Diese Fragen werden in unserem Webinar umfassend erläutert Jetzt Anmelden unter: https://t.co/u57zAcN83i

Still fuzzing Host headers with gobuster or feroxbuster? You're likely missing hosts. Traditional vhost enumeration happens after the TLS handshake - by the time your HTTP request lands, the routing decision has already been made - during the TLS handshake, based on the SNI. Anything that happens during connection setup stays invisible to your fuzzer. And that's exactly where interesting hosts like to hide. SNItch closes that gap by forcing a fresh TLS handshake per candidate with the SNI set correctly, and feeding discoveries from https://t.co/ZUEQMF7KI1, PTR records, and certificate SANs back into the scan. Our latest blog post walks through the technique and the tool SNItch: https://t.co/zQImOZAxvs

Unser Geschäftsführer Stefan Strobel ist gerade auf der ISX Conference in München. Dort hat er heute die Keynote zum Thema „Cybercrime 2026 – Bedrohungen, Erkennung und Schutz“ gehalten. Anschließend hat er in einem Thinktank über das Thema „Die richtige Vorbereitung und Reaktion auf einen IT-Sicherheitsvorfall durch Malware und Ransomware“ gesprochen. Dabei hat er unter anderem folgende Fragen beantwortet: • Wie bereitet man sich auf einen Sicherheitsvorfall vor? • Welche Maßnahmen müssen ergriffen werden? • Was ist die richtige Reaktion bei einem Ransomware-Angriff? Er hat uns einige Eindrücke von der Veranstaltung geschickt.

Heute hält unser Leitender Berater Michael Brügge die Eröffnungskeynote zum Thema „Cybercrime 2026 – Bedrohungen, Erkennung und Schutz“ auf der ISX Conference in Frankfurt. Anschließend wird er in einem Thinktank über Social Engineering als Initial-Access-Vektor sprechen und aktuelle Entwicklungen sowie Herausforderungen beleuchten.

In March 2026, cirosec identified an active malware campaign targeting developers, IT professionals, and power users who rely on popular open-source and productivity tools such as Joplin, PuTTY, WinSCP, KeePass, FileZilla, 7-Zip, and, more recently, Gemini CLI. The attackers cloned the official websites of these products, manipulated Bing search rankings to place their malicious copies above the legitimate results, and bundled a credential-stealer with genuine software installers. Because the real application is installed along with the malware, victims have little reason to suspect that anything went wrong. Find out more about the infection path, the malware and the IOCs in our blog article https://t.co/DxM3lNy1wV.

In diesem praxisorientierten Training lernen Sie die Grundlagen der IT- und Informationssicherheit kennen. Profitieren Sie von der über 20-jährigen Erfahrung unseres Trainers, der Ihnen aktuelle und relevante Einblicke bietet. Nach dem Training sind Sie in der Lage, zentrale Begriffe der IT-Sicherheit zu verstehen, Bedrohungen für Ihr Unternehmen realistisch einzuschätzen und passende Maßnahmen abzuleiten. Sichern Sie sich jetzt Ihren Platz und legen Sie das Fundament für eine sichere IT! 💪🔒 https://t.co/Ws6QGetyP8 #crashkurs #ITSicherheit #Informationssicherheit #Datenschutz #CyberSecurity #Bedrohungen #Angriffstechniken #SocialEngineering #Malware #Schutzstrategien #APTs #DDoS #ZeroTrust #Netzwerksicherheit #ISO27001

Unsere neue Podcastfolge ist da 🎊 In dieser Episode sprechen wir über Tabletop-Übungen: realitätsnahe Simulationen von Sicherheitsvorfällen, bei denen Prozesse, Kommunikation und Verantwortlichkeiten im Ernstfall getestet werden. Fragen wie: Welche Vorbereitungen müssen im Vorfeld getroffen werden? Welche Szenarien eignen sich besonders gut? Was passiert bei einem Tabletop und für wen ist es geeignet? …werden in dieser Folge von unseren Beratern Benni und Micha beantwortet. 🎧 Jetzt reinhören: https://t.co/id8aeuJEYD

Auf den cirosec TrendTagen im April hat Michael Brügge, Leitender Berater bei uns, einen Vortrag zum Thema Pentesting, Assumed Breach, Red Teaming, TLPT & Co. gehalten. Besonders die grafische Einordnung der einzelnen Prüfungsformen nach Reifegrad und Budget stieß auf großes Interesse. Deshalb gibt es nun eine kurze Zusammenfassung bei uns im Blog https://t.co/oTKXCdCqff

Ihr Unternehmen steht still – und jetzt? Bei der Veranstaltung im Druckhaus der Heilbronner Stimme zeigt Ihnen unser Geschäftsführer Stefan Strobel in seinem Vortrag, was im Ernstfall wirklich zählt. Er gibt direkte Einblicke in die Welt der Cyberangriffe und erklärt: • wie das Ökosystem der Hacker aufgebaut ist • wie Angreifer arbeiten und organisiert sind • welche Methoden sie einsetzen • wie Angriffe gestoppt oder eingedämmt werden können • und wie Unternehmen sich optimal vorbereiten Im Anschluss berichtet die Heilbronner Stimme aus erster Hand, wie es ist, selbst von einem Angriff betroffen zu sein – und welche Strategien sich in der Praxis als besonders wirksam erwiesen haben, um sich zu schützen. Die komplette Agenda und eine Anmeldemöglichkeit finden Sie unter https://t.co/gn5udfwchn

Today a single malicious container image could be enough to take over a larger fleet of machines and grant an attacker control over confidentiality, integrity and availability of all the workloads running in a Kubernetes cluster and potentially beyond, since clusters often hold secrets and credentials for external services and infrastructure. In our new article, we outline the seven seas of Kubernetes security — a set of key security domains that organizations should address to secure Kubernetes effectively… Find out more: https://t.co/t8VUKcV66g #blog #kubernetes #cloudnative #devops #containersecurity #cybersecurity

Warum analysieren interne SOC-Teams, KI-SOC-Plattformen oder externe MSSPs/MDRs nicht einfach alle Warnmeldungen, die als „hoch“ oder „kritisch“ klassifiziert sind? Weil der Aufwand sehr hoch ist und ihnen die Zeit fehlt. Radiant verfügt über eine SOC-Plattform, die genau diese Lücke mithilfe von KI schließt. Lernen Sie die Lösung in einem Webinar kennen und melden Sie sich gleich an! https://t.co/SnTFkW2UP5

KI hat sich zur neuen Standardmethode in der Entwicklung etabliert. Code entsteht heute schneller, als Sicherheitsteams ihn prüfen können; herkömmliche Scans reichen nicht mehr aus. Das Ergebnis: Wachsende Lücke zwischen Code-Erstellung und Laufzeit und neue Sicherheitsrisiken. In diesem Webinar stellt OX Security einen 90-Tage-Plan vor, mit dem Sie die Kontrolle über Ihre Anwendungssicherheit zurückgewinnen können. Dieses Webinar richtet sich speziell an CISOs, AppSec-Verantwortliche und DevSecOps-Teamsmitglieder sowie an Sicherheitsteams. Seien Sie dabei und erfahren Sie, wie sie Software entwickeln können, die sich selbst schützt: https://t.co/kC9TEs08Lk #webinar #cybersecurity #appsec #devsecops #ki #ciso

Heute sind unsere Berater Christian und Felix an der Technischen Hochschule in Würzburg und veranstalteten ein spannendes CTF (Capture-the-Flag) im Jeopardy-Style mit den Studierenden! 🔍💻 Die Teilnehmer treten in verschiedenen Kategorien wie Web-Schwachstellen, Exploitation und Kryptographie gegeneinander an, um Punkte zu sammeln und sich den Sieg zu sichern. 🏆 Es ist ein spannendes Kopf-an-Kopf-Rennen.