Domainbasierte IOC-Erkennung für Carbon Black in Uncoder AI

SOC Prime Plattform

Juni 04, 2025

2 min zu lesen

Domainbasierte IOC-Erkennung für Carbon Black in Uncoder AI

Steven Edwards
Steven Edwards Technischer Autor linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon
Inhaltsverzeichnis

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wie es funktioniert

1. IOC-Extraktion

Uncoder AI scannt den Bedrohungsbericht (linkes Fenster) und identifiziert bösartige Netzwerk-Infrastrukturen, die zugeordnet sind mit:

  • HATVIBE und CHERRYSYSPY Loaders

  • Verdächtige Kommunikations- und Command-and-Control-Domains wie:
    • trust-certificate.net
    • namecheap.com
    • enrollmenttdm.com
    • n247.com
    • mtw.ru

Erkunden Sie Uncoder AI

Diese Domains sind zugeordnet zu:

  • Falsche Zertifikatsköder
  • Python-basierte Loader
  • Bösartige HTA-Stager
  • Anmeldeinformationen-Diebstahl durch Phishing oder Post-Exploitation-Skripte

2. Carbon Black Abfrageerstellung

Auf der rechten Seite generiert Uncoder AI eine Carbon Black Bedrohungsjagd-Abfrage unter Verwendung des netconn_domain Feldes:

(netconn_domain:trust-certificate.net OR 

 netconn_domain:namecheap.com OR 

 netconn_domain:enrollmenttdm.com OR 

 netconn_domain:n247.com OR 

 netconn_domain:mtw.ru)

Diese Logik sucht nach ausgehenden Verbindungen von jedem Prozess zu den aufgelisteten Domains — was Verteidigern ermöglicht, C2-Aktivität zu verfolgen oder gestagtes Malware-Delivery zu erkennen.

Warum es effektiv ist

  • Feldspezifische Formatierung: Verwendet automatisch netconn_domain — das korrekte Feld für Carbon Black Netzwerk-Telemetrie.
  • Skalierbare IOC-Einbeziehung: Unterstützt problemlos mehrere Domain-Einträge in einer einzigen Zeile für Batch-Hunting.
  • Sofortige Verwendbarkeit: Ausgabe ist plug-and-play für Carbon Black Konsolen, ohne dass Syntaxbearbeitung nötig ist.

Betriebswert

Sicherheitsteams, die VMware Carbon Black nutzen, können diese Funktion nutzen, um:

  • Proaktiv nach Infektionen zu jagen die mit den HATVIBE und CHERRYSYSPY Malware-Familien verbunden sind
  • Verdächtige Domain-Beacons erkennen die mit Aktivitäten nach dem Kompromittieren verknüpft sind
  • Reaktionszeiten auf Vorfälle beschleunigen indem direkt von Bedrohungsinformationen zu plattformnativen Erkennungsabfragen gewechselt wird

Erkunden Sie Uncoder AI

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More SOC Prime Plattform Articles

Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI 2 min zu lesen SOC Prime Plattform Linux Syscall-Bedrohungserkennung in Splunk mit Uncoder AI by Steven Edwards Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen 2 min zu lesen SOC Prime Plattform Von Sigma zu SentinelOne: Passwortzugriff über Notepad mit Uncoder AI erkennen by Steven Edwards Konvertieren Sie Sigma DNS-Regeln in Cortex XSIAM mit Uncoder AI 2 min zu lesen SOC Prime Plattform Konvertieren Sie Sigma DNS-Regeln in Cortex XSIAM mit Uncoder AI by Steven Edwards