Uncoder AI로 CrowdStrike에서 악성 curl 프록시 활동 시각화

Posted on by Steven Edwards

공격자들은 자주 신뢰받는 도구인 curl.exe 를 사용하여 트래픽을 SOCKS 프록시 를 통해 터널링하고 심지어 .onion 도메인에 도달합니다. 데이터 탈취 또는 명령 및 제어 통신을 위해서든, 그러한 활동은 명시적으로 탐지하지 않으면 잘 드러나지 않습니다. 이것이 바로 크라우드스트라이크 엔드포인트 보안 쿼리 언어 가 팀에게 할 수 있게 해주는 것입니다. 그러나 논리가 복잡해질 때, 탐지 엔지니어와 SOC 분석가는 […]

CVE-2025-31324 탐지: SAP NetWeaver 제로데이 공격, 원격 코드 실행에 노출된 중요한 시스템

Posted on by Daryna Olyniychuk

제로데이 취약점 이제 더 이상 드문 이상 현상이 아닙니다. 현대 공격자의 무기고에서 핵심 도구로 자리 잡았으며, 해킹 활동이 해마다 증가하고 있습니다. 구글의 위협 인텔리전스 그룹(GTIG)에 따르면 2024년 한 해 동안 75개의 제로데이 취약점이 야생에서 악용되었으며, 이는 비즈니스에 중요한 시스템에 대한 위협이 커지고 있음을 단적으로 보여줍니다. 최근 등장한 중요한 취약점 중 하나인 CVE-2025-31324는 최대 위험성을 가진 […]

Uncoder AI의 의사 결정 트리로 Microsoft Defender에서 clfs.sys 위협 활동 시각화

Posted on by Steven Edwards

합법적인 시스템 드라이버를 불법적이거나 의심스러운 디렉토리에서 로딩하는 것은 적대자들이 지속성, 회피 또는 실행을 위해 사용하는 알려진 기법입니다. 이 범주에서의 고가치 타겟은 clfs.sys — Common Log File System와 연관된 합법적인 Windows 드라이버입니다. 이 활동을 탐지하기 위해, Microsoft Defender for Endpoint는 고급 KQL 기반 탐지 논리를 지원합니다. 하지만 이러한 쿼리를 실제로 운영화하려면, 분석가들은 그것이 어떻게 작동하는지에 대한 […]

언코더 AI의 Splunk 쿼리용 AI 의사결정 트리로 이벤트 로그 변조 탐지하기

Posted on by Steven Edwards

공격자의 플레이북에서 더 고급 전술 중 하나는 손상 흔적을 지우기 위해 이벤트 로그 구성을 조작하는 것입니다. 이러한 시도를 감지하려면 Windows 레지스트리 수정 은 복잡합니다. 종종 레지스트리 키와 권한에 따라 필터링하는 자세한 Splunk 쿼리가 필요합니다. 이러한 쿼리를 빠르게 이해하기 위해 분석가들은 Uncoder AI의 AI 생성 의사 결정 트리 기능을 활용하고 있습니다. 이는 쿼리를 요약하는 것에 그치지 […]

Microsoft Defender에서 Uncoder AI로 CrushFTP를 통한 의심스러운 스크립트 노출

Posted on by Steven Edwards

파일 전송 서비스는 CrushFTP 이(가) 비즈니스 운영에 중요하지만, 탈취 후 활동의 은밀한 발판으로도 활용될 수 있습니다. 예를 들어, 서버 프로세스인 crushftpservice.exe 가 powershell.exe , cmd.exe , 또는 bash.exe 를 생성하면 공격자가 눈에 띄지 않게 명령을 실행하거나 페이로드를 배포하고 있을 가능성이 있습니다. In Microsoft Defender for Endpoint에는 이와 같은 활동이 Kusto Query Language (KQL)를 통해 포착될 […]

SentinelOne에서 Uncoder AI로 NimScan 활동 탐지

Posted on by Steven Edwards

잠재적으로 원치 않는 애플리케이션(PUAs)인 NimScan.exe 은 기업 환경 내에서 조용히 작동하여 내부 시스템을 탐색하거나 측면 이동을 촉진할 수 있습니다. 이러한 도구를 조기에 탐지하는 것은 네트워크 전체의 침해를 방지하는 데 중요합니다. 최근 분석된 SentinelOne 탐지 규칙은 SOC Prime의 Uncoder AI 플랫폼에서 이 위협을 강조하여 타겟 프로세스 경로나 IMPhash 서명이 NimScan의 존재를 나타내는 이벤트를 식별합니다. Uncoder AI […]

PUA: NimScan 활동 발견 및 Uncoder AI로 전체 요약

Posted on by Steven Edwards

위협 탐지에서 시간은 모든 것입니다. 특히, NimScan과 같은 도구를 식별할 때 잠재적으로 원하지 않는 응용 프로그램 (PUA) 로 인식 되어 있으며, 이는 종종 정찰 또는 악의적인 스캐닝 활동과 연관됩니다. Microsoft Sentinel은 이러한 위협에 대한 탐지 규칙을 제공하여 Kusto Query Language (KQL)을 사용하지만, 그것들의 전체 범위를 한눈에 이해하는 것은 시간이 많이 걸릴 수 있습니다. 바로 그 […]

Uncoder AI가 하이브리드 AI로 다국적 규칙 번역 자동화

Posted on by Steven Edwards

작동 원리 보안 플랫폼 간 탐지 논리를 번역하는 것은 구문 불일치와 컨텍스트 손실로 인해 종종 제약을 받는 복잡한 작업입니다. SOC Prime의 Uncoder AI 는 결정론적 구문 분석과 인공지능으로 구동되는 하이브리드 번역 모델을 적용하여 이 문제를 해결합니다. 이 경우, Microsoft Sentinel의 Kusto Query Language (KQL)로 작성된 탐지 규칙이 Microsoft Sentinel의 Kusto Query Language (KQL) 을(를) 자동으로 […]

AI로 완전 요약된 규칙/쿼리

Posted on by Steven Edwards

작동 방식 현대 감지 규칙은 종종 복잡한 논리, 다중 필터 및 특정 검색 패턴을 포함하여 한눈에 해석하기 어렵습니다. Uncoder AI의 전체 요약 기능은 제공된 감지 규칙이나 쿼리를 자동으로 분석하여 사람이 읽을 수 있는 언어로 자세한 설명을 생성합니다. 예에서 볼 수 있듯이, 제약 없는 Kerberos 위임 지표를 대상으로 하는 Splunk 쿼리를 주요 구성 요소로 분해합니다: 인덱스 […]

Uncoder AI에서 AI 기반 쿼리 최적화

Posted on by Steven Edwards

작동 방법 특히 여러 조인, 보강 및 필드 조회를 포함하는 복잡하고 긴 탐지 쿼리는 종종 성능 병목 현상이 됩니다. 이는 특히 Microsoft Sentinel에서 부적절한 조인이나 잘못된 필드 사용이 결과를 상당히 지연시킬 수 있는 경우에 해당합니다. 이를 해결하기 위해 SOC Prime의 Uncoder AI 는 AI 기반 쿼리 최적화를 도입합니다. 시스템은 탐지 규칙을 분석하여 쿼리가 효율적인지 여부를 […]