Détection d’IOC Basée sur le Domaine pour Carbon Black dans Uncoder AI

[post-views]
juin 04, 2025 · 2 min de lecture
Détection d’IOC Basée sur le Domaine pour Carbon Black dans Uncoder AI

Comment ça fonctionne

1. Extraction d’IOC

Uncoder AI analyse le rapport de menace (panneau de gauche) et identifie l’infrastructure réseau malveillante associée à :

  • les chargeurs HATVIBE et CHERRYSYSPY

  • Communication suspecte et domaines de commande et de contrôle comme :
    • trust-certificate.net
    • namecheap.com
    • enrollmenttdm.com
    • n247.com
    • mtw.ru

Découvrir Uncoder AI

Ces domaines sont associés à :

  • Leurres de faux certificats
  • Chargeurs basés sur Python
  • Stagers HTA malveillants
  • Vol d’identifiants via des scripts de phishing ou post-exploitation

2. Génération de requête Carbon Black

À droite, Uncoder AI génère une requête de chasse aux menaces Carbon Black en utilisant le champ netconn_domain :

(netconn_domain:trust-certificate.net OR 

 netconn_domain:namecheap.com OR 

 netconn_domain:enrollmenttdm.com OR 

 netconn_domain:n247.com OR 

 netconn_domain:mtw.ru)

Cette logique recherche des connexions sortantes de tout processus vers les domaines listés — permettant aux défenseurs de retracer l’activité de C2 ou la livraison de malware en attente.

Pourquoi c’est efficace

  • Formatage spécifique au champ: Utilise automatiquement netconn_domain — le champ correct pour la télémétrie réseau Carbon Black.
  • Inclusion d’IOC évolutive: Soutient facilement plusieurs entrées de domaine dans une seule ligne pour la chasse en lot.
  • Utilisabilité immédiate: La sortie est prête à l’emploi pour les consoles Carbon Black, sans besoin d’édition de syntaxe.

Valeur opérationnelle

Les équipes de sécurité utilisant VMware Carbon Black peuvent tirer parti de cette fonctionnalité pour :

  • Chasser proactivement les infections liées aux familles de malwares HATVIBE et CHERRYSYSPY
  • Détecter les balises de domaine suspectes liées à l’activité post-compromission
  • Accélérer la réponse aux incidents en pivotant directement de l’intelligence sur les menaces aux requêtes de détection natives de la plateforme

Découvrir Uncoder AI

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes