중대한 취약성 CVE-2020-3452가 Cisco ASA 및 Cisco Firepower에 대해 발견됨에 따라, 이 취약성에 대한 탐지 규칙의 출현으로 인해, 다시 한 번 정기 출판 일정을 변경합니다. CVE-2020-3452 – 7월의 또 하나의 골칫거리 CVE-2020-3452는 작년 말에 발견되었지만 이 취약성을 수정하기 위한 업데이트가 Cisco에서 발표될 때까지 공개되지 않았습니다. 보안 권고는 어제 발표되었고 몇 시간 후 연구자가 첫 PoC […]
탐지 콘텐츠: 가짜 PDF를 통해 드롭된 Formbook (Sysmon 동작)
Covid19 발병은 사이버 보안의 여러 사각지대를 드러냈습니다. 최신 동향에 대한 정보를 Weekly Talks, 웨비나, 관련 콘텐츠 다이제스트로 제공하여 최선을 다하고 있습니다. 그러나 정보의 홍수 속에서 인간의 호기심은 약점이 될 수 있습니다. 2016년부터 알려진 정보 유출 악성 코드인 FormBook은 Covid19 관련 정보가 포함된 PDF 파일을 전달하는 이메일 캠페인을 통해 적극적으로 배포되었습니다. FormBook 데이터 스틸러는 본격적인 은행 […]
위협 헌팅 콘텐츠: DNS.exe 충돌 (가능한 CVE-2020-1350 탐지)
7월은 공개된 심각한 취약점에 대해 결실을 맺은 달이었습니다: CVE-2020-5903 (F5 BIG-IP), CVE-2020-8193 (Citrix ADC / Netscaler), CVE-2020-2034 (Palo Alto PAN-OS), CVE-2020-6287 (SAP Netweaver), CVE-2020-3330 (Cisco VPN / Firewalls), 그리고 CVE-2020-1350 (Microsoft Windows DNS Server의 취약점인 SIGRed라고도 불림). 지난주, Threat Bounty Program 기여자들과 SOC Prime 팀은 올해 가장 심각한 취약점 중 하나인 CVE-2020-1350을 탐지하기 위한 일련의 […]
탐지 콘텐츠: Hancitor 트로잔
오늘 게시물은 Hancitor 트로이 목마의 새로운 버전과 이에 대응할 수 있는 보안 솔루션을 가능하게 하는 몇 가지 규칙에 대해 설명합니다 Threat Bounty Program 참가자들이 있습니다. Hancitor Trojan (회피 기법) 커뮤니티 규칙 작성: Emir Erdogan: https://tdm.socprime.com/tdm/info/GwJ4Y7k7tzaz/1rBKXHMBSh4W_EKGF2on/?p=1 Ursnif을 동반한 Hancitor 감염 독점 규칙 작성: Osman Demir: https://tdm.socprime.com/tdm/info/DXrFgt0kTBg1/Z9TBUXMBPeJ4_8xc-IFm/ 이 악성코드는 2013년에 나타났으며 지난해 말까지 저자들이 오래된 트로이 목마를 […]
규칙 요약: CobaltStrike, APT10, 및 APT41
정기 구독을 여러분에게 소개하게 되어 기쁘게 생각합니다 규칙 다이제스트는 SOC 프라임 팀에서만 개발한 규칙으로 구성되어 있습니다. 이는 모두 APT 그룹들의 악성 활동을 찾아내는 데 도움을 주는 규칙들이므로 일종의 주제별 선택이라고 할 수 있으며, 이들 그룹은 중국 정부와 연계되어 있으며 사이버 스파이 캠페인에서 자주 사용되는 CobaltStrike 도구를 사용합니다. 하지만 규칙 다이제스트로 바로 이동하기 전에 Windows DNS […]
탐지 콘텐츠: GoldenHelper 행동
이번 주 “이번 주의 규칙” 섹션에서는 어떤 규칙도 강조하지 않을 것입니다. 왜냐하면 가장 주목받는 규칙들이 어제의 특별 다이제스트 에 이미 게시되었기 때문입니다. 이는 Windows DNS 서버의 치명적 취약성(CVE-2020-1350, SIGRed)의 악용을 탐지하는 규칙에 전념한 것입니다. 오늘의 출판물은 공식 소프트웨어에 포함된 GoldenHelper 악성코드 탐지에 전념합니다. 공격자들은 중국 은행들이 부가가치세 지불을 위해 요구하는 황금 세금 송장 소프트웨어(바이왕 에디션)에 […]
CVE-2020-1350 (SIGRed) 악용 탐지를 위한 위협 헌팅 규칙
오늘은 Windows DNS 서버의 중요한 취약점을 악용하는 것을 탐지하는 데 도움이 되는 특별한 콘텐츠 요약을 소개합니다. 이 취약점은 단지 이틀 전만 해도 알려졌지만 그 후로 SOC Prime 팀(대표: Nate Guagenty)과 Threat Bounty Program 참가자들은 CVE-2020-1350 취약점(SIGRed) 악용을 탐지하는 10개 이상의 규칙을 발표했으며, 새로운 규칙이 출시될 때마다 이 게시물을 업데이트할 것입니다. CVE-2020-1350 – 심각한 웜 가능 […]
회사 대시보드: 위협 탐지 마켓플레이스 활동에 대한 통찰력
SOC Prime 위협 탐지 마켓플레이스 (SOC Prime TDM)는 기업들이 보안 분석을 강화하는 데 도움을 주는 SaaS 콘텐츠 플랫폼으로 만들어졌습니다. 따라서 분석 기능을 강화하고 실시간 통계를 제공하는 것은 SOC Prime이 가장 중요하다고 생각하는 핵심 기능 중 하나입니다. 데이터 시각화는 데이터를 보다 직관적으로 전달하고 기업의 사전적 위협 탐지 측면에서의 진행 상황을 명확하게 파악할 수 있게 도와줍니다. The […]
위협 탐지 콘텐츠: SamoRAT 행동
오늘 위협 사냥 콘텐츠 섹션에서 주목할 점은 Threat Detection Marketplace에 의해 출시된 커뮤니티 규칙입니다: Ariel Millahuel 이 규칙은 SamoRAT 멀웨어의 새로운 샘플을 탐지합니다: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 이 원격 액세스 트로이 목마는 연구원들에 의해 최근에 모습을 드러냈으며, 첫 번째 SamoRAT 샘플은 약 한 달 전에 발견되었습니다. 이 트로이 목마는 .NET 기반의 멀웨어로, 주로 사이버 범죄자들이 감염된 시스템에서 다양한 […]
탐지 콘텐츠: Phorpiex 트로이 목마
우리의 위협 헌팅 콘텐츠 블로그 게시물 중 하나에서 이미 감지 규칙을 관찰했습니다 Avaddon 랜섬웨어, 이는 6월 초에 처음 발견된 새로운 Ransomware-as-a-Service 변형입니다. Avaddon 랜섬웨어의 가장 활발한 배포자 중 하나는 Phorpiex 봇넷으로, 올해 초 발생한 손실로부터 최근 회복했습니다. 감염된 시스템은 시간당 수만 건의 이메일을 보낼 수 있으며, 2019년 말 이러한 시스템의 수는 거의 50만 개에 달했습니다. […]