규칙 요약: 트로이 목마와 랜섬웨어

Posted on by Eugene Tkachenko

오늘의 다이제스트에서는 Saefko RAT, Ursa 트로잔 및 활발히 확산되는 랜섬웨어 변종들을 탐지하는데 도움이 될 수 있는 Threat Bounty Program 회원들이 제공한 콘텐츠를 강조하고자 합니다.  Saefko RAT는 2019년 중반에 처음 발견된 .NET으로 작성된 비교적 새로운 원격 액세스 트로잔입니다. Saefko RAT는 감염된 시스템의 로그인을 통해 악성코드를 실행하기 위해 시작 키를 생성하여 지속성을 유지합니다. 그러고 나면 크롬 브라우저의 […]

이 주의 규칙: 타노스 랜섬웨어

Posted on by Eugene Tkachenko

오늘의 주간 규칙 섹션에서는, 공개된 규칙에 주목할 것을 권합니다 Emir Erdogan. 이 새로운 규칙은 Thanos 랜섬웨어를 탐지하는 데 도움이 되며, 이는 반-랜섬웨어 솔루션을 우회하기 위해 RIPlace 전술을 무기로 사용했습니다: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos 랜섬웨어는 지난해 말 처음 등장했으며, 그 작성자들은 지하 포럼과 비공개 채널에서 이를 광고했습니다. 이는 서비스형 랜섬웨어로서 기술이 부족한 공격자조차도 고유한 페이로드를 생성할 수 있는 […]

탐지 콘텐츠: Ransom X 행동

Posted on by Eugene Tkachenko

또 다른 랜섬웨어 패밀리가 이번 봄에 등장했으며 기업과 정부 기관을 대상으로 한 표적 공격에 활발히 사용되고 있습니다. 5월 중순, 사이버 범죄자들은 텍사스 교통부의 네트워크를 공격했지만 미승인 접속이 발견되어 결과적으로 시스템의 일부만 암호화되었습니다. 이번 공격에는 새로운 랜섬웨어 – Ransom X가 사용되었으며, 이는 “친척들” 중에서도 두드러집니다. Ransom X는 사람이 직접 운영하는 랜섬웨어로, 실행 후 공격자에게 정보를 표시하는 […]

위협 사냥 콘텐츠: 타우러스 스틸러 탐지

Posted on by Eugene Tkachenko

Taurus 정보 탈취 멀웨어는 해커 포럼에서 이를 홍보하는 Predator The Thief 팀에 의해 만들어진 비교적 새로운 도구입니다. 이 인포스틸러는 브라우저, 암호화폐 지갑, FTP, 이메일 클라이언트 및 다양한 앱에서 민감한 데이터를 탈취할 수 있습니다. 이 멀웨어는 매우 회피적이며 샌드박스 탐지를 피하기 위한 기술들을 포함하고 있습니다. 공격자들은 지리적 위치에 따라 감염 수를 모니터할 수 있는 대시보드를 개발하였습니다. […]

탐지 콘텐츠: PsiXBot 멀웨어 동작

Posted on by Eugene Tkachenko

Google와 Mozilla가 HTTPS 프로토콜을 이용한 DNS의 광범위한 사용을 도입하면서, 더 많은 악성코드 제작자들도 악성 트래픽을 숨기기 위한 이 완벽한 기회를 채택하고 있습니다. 최근 발견된 PsiXBot의 버전은 Google의 DoH 서비스를 악용해 C&C 인프라의 IP를 가져옵니다. 이 악성코드는 2017년에 쿠키와 자격 증명을 수집할 수 있는 간단한 정보 절도 프로그램으로 등장했으며, 추가 도구를 다운로드 및 실행할 수 있지만, […]

이번 주의 규칙: 다단계 APT 공격을 통해 전달된 Cobalt Strike

Posted on by Eugene Tkachenko

이번 달, 연구자들은 발견했습니다 미정의된 APT 그룹에 의해 진행된 다단계 공격을. 이 공격 동안, 적대자들은 Cobalt Strike에서 Malleable C2 기능을 사용하여 C&C 통신을 수행하고 최종 페이로드를 제공했습니다. 연구자들은 공격자들이 고급 회피 기술을 사용한다고 언급했습니다. 그들은 악성 Word 매크로에서 페이로드 실행을 지연시키는 것을 관찰했습니다. 또한, 공격자들은 HTTP 응답에서 반환된 jQuery 스크립트 안에 셸코드를 숨기고, 보안 솔루션에 […]

위협 탐지 마켓플레이스에서 커뮤니티 접근과 무료 체험 연장

Posted on by Alla Yurchenko

SOC Prime에서 우리는 계속해서 개발하고 있습니다 우리의 제품을 통해 사이버 보안 전문가들이 최신 위협과 공격 방법에 대해 동기화하고, 각 기업 환경에 맞춘 탐지 및 분석 데이터를 손쉽게 사용할 수 있도록 돕습니다. 투명성을 더하기 위해 새로 도입된 대시보드 페이지는 Threat Detection Marketplace (TDM)에서 회사의 활동을 분석하고, 회사가 위협 탐지에서 얼마나 뛰어난 성과를 거두었는지와 업계 리더들과 비교하여 […]

위협 헌팅 콘텐츠: 가짜 Windows 오류 로그의 악성 페이로드

Posted on by Eugene Tkachenko

지난주 보안 연구원들이 발견한 호기심을 끄는 방법으로, 악성 페이로드를 평문으로 숨기는 초목과 같은 방법이 사용되고 있습니다. 공격자들은 ASCII 문자를 16진수 값으로 가장해 저장하고, 이것을 스크립트 기반 공격을 위한 준비로 설계된 악성 페이로드로 디코딩하여 모의 로그를 사용합니다. 발견된 시나리오에서, 사이버 범죄자들은 시스템을 손상시키고 지속성을 확보한 후 새로운 방법을 적용했습니다. 그런 다음 그들은 .chk 확장자의 파일을 사용하여 […]

탐지 콘텐츠: MS 오피스를 통해 로드된 DLL 발견

Posted on by Eugene Tkachenko

피싱 공격이 악성 소프트웨어로 대상을 감염시키는 가장 효과적인 방법 중 하나라는 것은 비밀이 아닙니다. 일반적으로, 적들은 사용자가 악성 문서를 열고 매크로를 활성화하거나 MS 오피스의 취약점을 활용하여 악성 소프트웨어를 배포하도록 설득하려고 합니다. 우리는 정기적으로 피싱 캠페인이나 그들이 배포하는 악성 소프트웨어를 탐지하기 위한 규칙을 게시합니다 (1, 2, 3) 오늘은 속은 사용자가 ‘편집 활성화’ 버튼을 클릭하는 순간 공격을 […]

규칙 요약: RATs, 인포스틸러, 및 Emotet 멀웨어

Posted on by Eugene Tkachenko

오늘은 토요일로, 다음 규칙 요약 시간이 다가왔다는 의미입니다. 이번 주에 발표된 악성코드 탐지를 위한 흥미로운 콘텐츠에 대해 알려 드리겠습니다. 그리고 참가자들이 위협 기여 프로그램 에 게재한 규칙에도 특별히 주목합니다. 첫 번째로, 아리엘 밀라웰이 발표한 규칙부터 시작합니다. 이 규칙은 보안 솔루션이 STRRAT 트로이목마를 감지하도록 돕습니다: https://tdm.socprime.com/tdm/info/TO2qaXt0OvI5/m3zowXIBPeJ4_8xcBtsy/?p=1 STRRAT는 Java 기반 원격 관리 트로이목마로, 브라우저와 이메일 클라이언트에 저장된 […]