Detección de IOC Basada en Dominio para Carbon Black en Uncoder AI

[post-views]
junio 04, 2025 · 2 min de lectura
Detección de IOC Basada en Dominio para Carbon Black en Uncoder AI

Cómo Funciona

1. Extracción de IOC

Uncoder AI escanea el informe de amenazas (panel izquierdo) e identifica la infraestructura de red maliciosa asociada con:

  • cargadores HATVIBE y CHERRYSYSPY

  • Comunicación sospechosa y dominios de comando y control como:
    • trust-certificate.net
    • namecheap.com
    • enrollmenttdm.com
    • n247.com
    • mtw.ru

Explorar Uncoder AI

Estos dominios están asociados con:

  • Señuelos de certificados falsos
  • Cargadores basados en Python
  • Escenarios HTA maliciosos
  • Robo de credenciales mediante phishing o scripts post-explotación

2. Generación de Consultas de Carbon Black

A la derecha, Uncoder AI genera una consulta de caza de amenazas de Carbon Black usando el campo netconn_domain :

(netconn_domain:trust-certificate.net OR 

 netconn_domain:namecheap.com OR 

 netconn_domain:enrollmenttdm.com OR 

 netconn_domain:n247.com OR 

 netconn_domain:mtw.ru)

Esta lógica busca conexiones salientes desde cualquier proceso a los dominios listados, permitiendo a los defensores rastrear la actividad C2 o la entrega de malware preparado.

Por Qué es Efectivo

  • Formato específico de campo: Utiliza automáticamente campo netconn_domain — el campo correcto para la telemetría de red de Carbon Black.
  • Inclusión escalable de IOC: Soporta fácilmente múltiples entradas de dominio en una sola línea para una caza por lotes.
  • Usabilidad inmediata: La salida es lista para usar en consolas de Carbon Black, sin necesidad de edición de sintaxis.

Valor Operativo

Los equipos de seguridad que utilizan VMware Carbon Black pueden aprovechar esta función para:

  • Cazar proactivamente infecciones relacionadas con las familias de malware HATVIBE y CHERRYSYSPY
  • Detectar púlsares de dominio sospechosos vinculados a actividades post-compromiso
  • Acelerar la respuesta a incidentes al transitar directamente de la inteligencia de amenazas a las consultas de detección nativas de la plataforma

Explorar Uncoder AI

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas