IOC-to-CSQL Detection for Gamaredon Domains

작동 방식

이 기능은 Uncoder AI 복잡한 위협 정보를 구조화된 CrowdStrike CSQL (CrowdStrike Search Query Language)로 번역하여, Falcon Endpoint Search 내에서 즉시 사용할 수 있도록 합니다.

이 예에서는, 다음의 지표로부터 CERT-UA#13738 Gamaredon (UAC-0173 / LITENKODER) 캠페인이 ZIP 파일과 클라우드 호스팅 페이로드를 활용하는 방법을 설명합니다. Uncoder AI는 보고서를 처리하여 유효하고 플랫폼에 맞춘 탐지 쿼리를 산출합니다.

Uncoder AI 탐색하기

보고서에서 CSQL로

AI 엔진은 관련 IOCs를 추출합니다:

• 스토리징 도메인 예시 upnow-prod.ff45e40d1a...r2.cloudflarestorage.com
• 난독화된 DNS 지표 (047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip)
  

이들은 구문에 맞는 쿼리에 삽입됩니다:

(DomainName="047fdb0a-6c56-47d1-9504-25af45f8a3a0.zip"

 OR DomainName="bestank.ph"

 OR DomainName="i.ibb.co"

 이 쿼리는 CrowdStrike에서 DomainName 필드를 통해 직접 엔드포인트 원격 측정과 일치합니다.

혁신적인 이유

AI 기반 규칙 생성

사전 정의된 템플릿에 의존하지 않고, Uncoder AI는 다음을 깊이 이해하여 벤더별 쿼리를 동적으로 구성합니다:

• 필드 매핑 (예: 선택 DomainName CSQL에서)
  
• 각 탐지 언어에 대한 구문 기대치
  
• 최적의 성능과 명료성을 위한 논리 구조
  

내장 구문 및 구조 검증

쿼리가 생성됨에 따라 Uncoder AI는 또한 실시간 구문 검증:

• 괄호와 OR 체인이 올바르게 그룹화되었음을 보장
  
• 지원되는 연산자의 사용을 검증 , OR)
  
• 필드-값 구분자가 스키마 규칙을 따르는지 확인 (예: CSQL에서 인용된 문자열)
  
• 특수 문자나 이상 현상(예: 호스트명 오타)을 플래그 처리
  

이 검사들은 포함된 AI 규칙 검증기에 의해 구동되며, 플랫폼별 문법 검사를 에뮬레이트하여 분석가들이 런타임 오류와 잘못된 논리를 피할 수 있도록 돕습니다.

이 두 겹의 시스템 — 생성과 검증 — 은 쿼리가 완전할 뿐만 아니라 운영 환경에 안전하게 배포 할 수 있도록 보장합니다.

운영 가치

단 한 번의 클릭으로, 탐지 엔지니어와 위협 헌터들은 다음을 할 수 있습니다:

• Gamaredon 도메인 사용을 식별하기 위한 타겟 쿼리 배포
  
• 운영 환경으로 배포하기 전 올바름 검증
  
• 필드 불일치나 논리 결함으로 인한 False Negative(거짓 부정) 방지
  

구조, 구문, 의미적 정확성을 자동화하여 Uncoder AI는 높은 충성도를 가진 탐지 논리 구축에서 추측을 제거합니다.

Uncoder AI 탐색하기