탐지 콘텐츠: Ursnif 트로이목마 활동 찾기

Posted on by Eugene Tkachenko

Emir Erdogan의 ‘Process Injection by Ursnif (Dreambot Malware)’ 전용 규칙이 Threat Detection Marketplace에 출시되었습니다: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/  Ursnif 뱅킹 트로이 목마는 대략 13년 동안 다양한 변종으로 공격자들에 의해 사용되었으며, 끊임없이 새로운 기능을 추가하고 보안 솔루션을 피하는 새로운 기술을 습득해 왔습니다. 이 소스 코드는 2014년에 유출되었으며, 그 이후 Ursnif는 자주 Top 10 Malware 차트에 오르면서, 다양한 트로이 목마의 […]

Buer 로더의 흔적을 발견하기 위한 위협 탐지 콘텐츠

Posted on by Eugene Tkachenko

Buer 로더를 탐지할 수 있게 하는 Ariel Millahuel이 만든 새로운 커뮤니티 규칙은 Threat Detection Marketplace에서 사용할 수 있습니다: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer는 모듈식 로더로, 지난 여름 말 처음 발견되었으며 그 후 이 악성코드는 언더그라운드 마켓플레이스에서 적극적으로 홍보되고 있습니다. Proofpoint 연구원들은 추적한 여러 캠페인에서 Buer 로더가 피싱 이메일과 악성 첨부 파일, 익스플로잇 키트를 통해 유포되었습니다. 이 악성코드는 C로 […]

개발자 인터뷰: Den Iuzvyk

Posted on by Alla Yurchenko

SOC Prime는 SOC Prime Threat Bounty Developer Program의 참가자와의 또 다른 인터뷰를 소개합니다 (https://my.socprime.com/en/tdm-developers). 우리는 Threat Bounty Program에 참여한 6개월 동안 60개 이상의 최고 품질과 탐지 가치를 지닌 커뮤니티 규칙을 발표한 Den Iuzvyk를 소개하고자 합니다.블로그에서 콘텐츠 개발자와의 인터뷰를 더 읽어보세요: https://socprime.com/en/tag/interview/ 자기 소개와 위협 사냥 경험에 대해 조금 말씀해 주세요. 제 이름은 Den Iuzvyk이고, 우크라이나 키이브 […]

규칙 다이제스트: 트로이 목마와 랜섬웨어 감지를 위한 최신 콘텐츠

Posted on by Eugene Tkachenko

SOC Prime는 Threat Bounty Program의 참가자들이 개발한 최신 커뮤니티 규칙에 대한 소규모 다이제스트를 여러분께 제공합니다 (https://my.socprime.com/en/tdm-developers). 다이제스트에는 트로이 목마 및 Hidden Tear 랜섬웨어를 탐지하는 데 도움 되는 5개의 규칙이 포함되어 있습니다. 앞으로 특정 위협 행위자나 인기 있는 취약점을 탐지하기 위한 콘텐츠 선정을 계속해서 발표할 예정입니다.   Hidden Tear 랜섬웨어 아리엘 밀라후엘 – https://tdm.socprime.com/tdm/info/K6UvKXunM7lJ/ Hidden Tear […]

Azure에서 현재 세션의 AccessKey 도난 시도를 탐지하는 콘텐츠

Posted on by Eugene Tkachenko

SOC Prime‍ 팀의 ‘의심스러운 명령줄이 Azure TokenCache.dat을 인수로 포함’ 커뮤니티 규칙은 다음에서 확인할 수 있습니다. 위협 탐지 마켓플레이스: https://tdm.socprime.com/tdm/info/MzSiYeDJ9PvW/ TokenCache.dat 파일에는 현재 세션의 AccessKey가 포함되어 있으며 일반 텍스트 JSON 파일로 저장됩니다. 이 파일을 명령줄을 통해 조작하는 것은 토큰을 도난하여 향후 악의적인 목적으로 사용하려는 시도로 나타날 수 있습니다. 규칙 메트릭: 심각도: 3 / 3; 실행 가능성 (데이터 […]

SOC Prime Integration with Microsoft Azure Sentinel, New Features

Posted on by Alla Yurchenko

모든 SOC Prime 팀은 현재 원격으로 작업 중입니다(당신도 같이 하길 바랍니다) 그러나 이러한 조건은 우리의 효율성과 개선을 위한 열망에 영향을 미치지 않았습니다 위협 탐지 마켓플레이스 (TDM) 플랫폼. 이 블로그에서는 SOC Prime의 새 4가지 TDM 기능을 Microsoft Azure Sentinel과의 3자 통합 덕분에 발표하게 되어 매우 흥분됩니다, 이는 비즈니스가 보안 인식을 유지하고 구현 시간을 줄이는 데 도움을 […]

SIEM 영향, 고통, 실행 가능성 및 심각도

Posted on by Adam Swan

목적 이 블로그 게시물의 목적은 SOC Prime의 위협 탐지 마켓플레이스에 도입된 메트릭(고통, 실행 가능성, SIEM 영향, 심각도)을 소개하는 것입니다. 소개 SOC Prime의 위협 탐지 마켓플레이스 는 품질 있는 탐지 콘텐츠로 보안 운영을 강화합니다.모든 방어 기술과 마찬가지로, 가능한 모든 콘텐츠를 “바로 사용 가능하게” 배포하는 것은 권장되지 않으며, 어떤 콘텐츠가 가장 가치 있는지를 선택하는 것이 때로는 어려울 […]

줌 서비스 강화 가이드

Posted on by Eugene Tkachenko

소개   이것은 상식과 당사 회사의 Zoom 사용에 특정한 Zoom 및 CheckPoint 권장 사항을 바탕으로 작성된 실용적인 가이드입니다. 세계의 모든 회사가 그렇듯이 재택 근무(WFH) 활동 및 공급업체로서의 판매/예비 판매 활동과 관련이 있습니다.  우리 사업의 특수한 성격으로 인해 강화 외에도 우리가 가장 잘 하는 일을 하면서, API를 통해 제공되는 Zoom 보고서, 프록시 로그 및 워크스테이션 로그를 […]

위협 보상 프로그램: 무한한 가능성… 그 너머로!

Posted on by Alla Yurchenko

3월 위협 바운티 지급에 대해 30% 보너스 및 WFH와 COVID19 시기에 위협 연구로 인한 안정적인 수익 창출 “우리는 사이버 보안 산업의 변화를 목격하고 있습니다. 소프트웨어는 폭포수와 칸반에서 애자일 프로세스와 CI/CD로 발전했습니다. 위협 탐지 엔지니어링의 분야도 발전했습니다. 이는 Sigma 언어, MITRE ATT&CK, SIEM 플랫폼 API의 진화 덕분에 가능했습니다. 나는 이것이 클라우드 네이티브 SIEM 기술과 함께 더욱 […]

개발자와의 인터뷰: 오스만 데미르

Posted on by Alla Yurchenko

저희는 새로운 인터뷰 를 SOC Prime의 개발자 프로그램 참가자와 함께 소개합니다 (https://my.socprime.com/en/tdm-developers). 오스만 데미르를 만나보세요.자신에 대해 그리고 위협 사냥 경험에 대해 조금 이야기해 주세요.안녕하세요, 저는 오스만 데미르입니다. 저는 터키 이스탄불에 살고 있으며, 25세입니다. 2017년에 컴퓨터공학 교육을 마쳤고, 현재 민간 기관에서 보안 엔지니어로 일하고 있습니다. 저는 2년 동안 위협 사냥을 해왔습니다. 저는 SOC 팀에서 현재의 위협 […]