규칙 요약: Emotet, 랜섬웨어 및 트로이 목마

Posted on by Eugene Tkachenko

안녕하세요 여러분, 이번 주에도 다시 돌아와서 참가자들이 제출한 다섯 가지 새로운 규칙을 소개합니다. 위협 현상금 프로그램. 이전 요약본은 여기에서 확인할 수 있으며, 질문이 있으면 채팅으로 환영합니다. Pykspa 웜형 악성코드는 지속성을 유지하기 위해 스스로 설치될 수 있으며, 추가 명령을 위한 포트를 듣고, 시스템에 추가 악성 도구를 떨어뜨릴 수 있습니다. 이 악성코드는 대체 데이터 스트림에 파일을 생성하고, […]

이번 주의 규칙: Azure VM에서의 명령 실행

Posted on by Eugene Tkachenko

해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#   공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 […]

탐지 콘텐츠: Himera 로더

Posted on by Eugene Tkachenko

오늘의 게시물은 지난달부터 COVID-19 관련 피싱 캠페인에서 적들이 사용하고 있는 Himera 로더 악성코드에 전념합니다. 사이버 범죄자들은 진행 중인 COVID19 팬데믹과 관련된 가족 및 의료 휴가 법 요청을 주제로 삼아 Trickbot과 Kpot 정보 도난 프로그램을 배포하는 데 이미 효과가 입증된 이 주제를 미끼로 계속 사용하고 있습니다.  최근 캠페인에서는 이메일이 두 가지 범용 사이버 범죄 도구인 Himera와 […]

위협 사냥 콘텐츠: AsyncRat 탐지

Posted on by Eugene Tkachenko

오늘날, 위협 사냥 컨텐츠 컬럼에서는 귀하의 관심을 높이기 위해 AsyncRAT 탐지 (Sysmon 동작) 커뮤니티 규칙을 Emir Erdogan가 작성하였습니다. 이 규칙은 sysmon 로그를 사용하여 AsyncRat 을 탐지할 수 있게 합니다. GitHub의 프로젝트에 의하면, AsyncRat은 원격 교육 목적으로만 만들어진 안전한 암호화 연결을 통해 다른 컴퓨터를 원격으로 모니터링하고 제어하도록 설계된 원격 액세스 도구입니다. 프로젝트 페이지에는 악의적인 사용을 금지하는 […]

탐지 콘텐츠: APT38 멀웨어

Posted on by Eugene Tkachenko

최근에 우리는 탐지 규칙을 발표하여 최신 도구 중 하나를 발견했습니다. 악명 높은 APT38 그룹에 대한 것으로, Lazarus 또는 Hidden Cobra로 더 잘 알려져 있습니다. 이제 이 정교한 사이버 범죄 그룹을 발견하기 위한 콘텐츠를 계속 발표할 때입니다. 오늘의 기사에서는 SOC Prime Threat Bounty Program의 첫 번째 참가자 중 한 명이 작성한 새로운 탐지 콘텐츠 링크를 제공할 […]

위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

Posted on by Eugene Tkachenko

요즘, 봉쇄 기간 동안 많은 조직이 기업 차원에서 회의 회의를 개최하기 위해 이 애플리케이션에서 발견된 보안 문제에도 불구하고 Zoom을 계속 사용하고 있습니다. 공격자들은 수개월 동안 이 애플리케이션의 인기가 증가하는 것을 악용하고 있으며, 조직을 공격으로부터 부분적으로 보호할 수 있습니다 Zoom 서비스를 강화하여 보호할 수 있습니다. 하지만 이것만으로는 문제를 완전히 해결할 수 없습니다. 사이버 범죄자들이 사용자에게 Zoom […]

Rule Digest: Detection Content by SOC Prime Team

Posted on by Eugene Tkachenko

최신 Rule Digest를 여러분께 소개하게 되어 기쁩니다. 이번에는 이전 다이제스트와는 달리, SOC Prime 팀만의 규칙으로 구성되어 있습니다. 이 주제는 cmdline을 통해 sysmon 로그를 분석하여 악의적인 활동을 찾는 데 도움이 되는 모든 규칙을 포함하고 있습니다. 그러나 Rule Digest로 직접 이동하기 전에, SOC Prime Threat Bounty Program 멤버들의 규칙들이 이번 주 우리 블로그에 게시되었습니다. 이번 주의 규칙: […]

이번 주의 규칙: Turla 그룹

Posted on by Eugene Tkachenko

Turla APT는 2004년부터 운영되어 유럽, 중동, 아시아 및 남미의 정부, 대사관, 군사, 교육, 연구 및 제약 회사를 포함하는 다양한 산업을 대상으로 사이버 첩보전을 수행하고 있습니다. 이는 가장 진보된 러시아 국가 지원 위협 행위자 중 하나로, 복잡한 도구와 공격 시의 독특한 아이디어로 잘 알려져 있습니다. 이 그룹은 공명 있는 작전과 최첨단 악성 코드로 유명하며, 다음과 같은 […]

탐지 콘텐츠: 스캐럽 랜섬웨어

Posted on by Eugene Tkachenko

Scarab 랜섬웨어는 2017년 6월 처음 발견된 이후 새로운 버전으로 꾸준히 재등장했습니다. 이 랜섬웨어는 2015년에 출시된 오픈 소스 랜섬웨어 트로이 목마인 HiddenTear 변형 중 하나입니다.  최근 발견된 랜섬웨어 버전은 개선된 RSA 암호화 방법을 사용하고 감염된 파일에 다양한 확장자를 추가합니다. Scarab 랜섬웨어는 대체 복구 방법을 방해하며, Windows 복원 지점과 영향을 받은 파일을 원래 상태로 복원할 수 있는 […]

SOC Prime Threat Detection Marketplace updates: May 2020

Posted on by Veronika Telychko

우리는 SOC Prime을 사용한 경험을 개선하기 위해 항상 방법을 찾고 있습니다. 위협 탐지 시장 (TDM) 오늘 우리는 최신 업데이트 및 개선 사항을 도입하게 되어 매우 흥분됩니다.   새로운 규칙 패키지 UI 우리는 ” 규칙 패키지 의 기능을 더욱 직관적으로 재설계된 모습과 느낌으로 매끄럽게 다듬었습니다. 이 릴리스로, 각 선택된 규칙 패키지는 보다 직관적인 방식으로 모든 세부 […]