오늘 위협 사냥 콘텐츠 섹션에서 주목할 점은 Threat Detection Marketplace에 의해 출시된 커뮤니티 규칙입니다: Ariel Millahuel 이 규칙은 SamoRAT 멀웨어의 새로운 샘플을 탐지합니다: https://tdm.socprime.com/tdm/info/38LTISI1kgNm/w6aTR3MBQAH5UgbBM9Gi/?p=1 이 원격 액세스 트로이 목마는 연구원들에 의해 최근에 모습을 드러냈으며, 첫 번째 SamoRAT 샘플은 약 한 달 전에 발견되었습니다. 이 트로이 목마는 .NET 기반의 멀웨어로, 주로 사이버 범죄자들이 감염된 시스템에서 다양한 […]
탐지 콘텐츠: Phorpiex 트로이 목마
우리의 위협 헌팅 콘텐츠 블로그 게시물 중 하나에서 이미 감지 규칙을 관찰했습니다 Avaddon 랜섬웨어, 이는 6월 초에 처음 발견된 새로운 Ransomware-as-a-Service 변형입니다. Avaddon 랜섬웨어의 가장 활발한 배포자 중 하나는 Phorpiex 봇넷으로, 올해 초 발생한 손실로부터 최근 회복했습니다. 감염된 시스템은 시간당 수만 건의 이메일을 보낼 수 있으며, 2019년 말 이러한 시스템의 수는 거의 50만 개에 달했습니다. […]
규칙 요약: 발락과 하나로더 악성코드, MSBuild 악용 및 기타
다시 한 번, 우리는 자랑스럽게 우리의 룰 다이제스트를 소개하게 되어 기쁩니다. 이번에는 위협 현상금 프로그램 참가자들뿐만 아니라 SOC Prime 팀의 탐지 콘텐츠를 보여줍니다. 오늘은 Valak과 HanaLoader 악성코웨어에 대해 조금 이야기하고, 데이터 덤프 및 MSBuild 남용 탐지, 그리고 명령줄 인수 하이재킹에 대해 설명하겠습니다. Valak 악성코드는 2019년 말 처음 관찰된 복잡한 모듈식 아키텍처를 가진 악성코드입니다. 연구자들은 관찰했습니다 […]
이번 주의 규칙: 회피적 DLL 로딩 / AWL 우회
오늘, “가능한 우회성 DLL 로딩 / AWL 우회 (명령줄을 통해)” 규칙이 SOC Prime 팀에 의해 우리의 열에 추가되었습니다.”이번 주의 규칙“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 아시다시피, 애플리케이션 화이트리스트(AWL)는 사전에 승인되고 지정된 프로그램만 실행되도록 허용하는 사전 예방적 접근 방식입니다. 화이트리스트에 포함되지 않은 모든 다른 프로그램은 기본적으로 차단되므로 AWL은 종종 네트워크 내의 엔드포인트에 침투하고 실행되는 악성 코드를 차단하는 데 사용됩니다. 그러나 […]
위협 헌팅 콘텐츠: CertReq.exe Lolbin
Living off the Land 바이너리(Lolbins)은 초기 목적을 넘어서는 작업을 수행하기 위해 고급 공격자들이 자주 오용하는 적법한 바이너리입니다. 사이버 범죄자들은 악성코드를 다운로드하고, 지속성을 보장하고, 데이터 탈취를 하고, 횡적 이동 등을 위해 적극적으로 사용합니다. 어제, Evil Corp 그룹의 공격을 탐지하는 규칙에 대해 글을 썼는데, 이 그룹도 최대한 많은 조직의 시스템에 WastedLocker 랜섬웨어를 배포하기 위해 Lolbins를 사용합니다. CertReq.exe는 […]
탐지 콘텐츠: WastedLocker 랜섬웨어
새로운 WastedLocker 랜섬웨어는 2020년 5월 처음 발견되었습니다. 이 랜섬웨어는 이전에 Dridex 트로이 목마를 사용했던 저명한 Evil Corp 그룹에 의해 개발되었습니다. Dridex 트로이 목마를 배포하여 BitPaymer 랜섬웨어로 미국과 유럽의 정부 조직과 기업을 대상으로 한 공격입니다. 작년에 일부 공격자들이 그룹을 떠나 독자적으로 BitPaymer의 코드를 기반으로 하는 DoppelPaymer 랜섬웨어를 사용하여 공격을 시작했습니다. 짧은 휴식 후, Evil Corp의 해커들은 […]
위협 사냥 콘텐츠: DropboxAES RAT 탐지
오늘 우리는 APT31 그룹이 사이버 스파이 캠페인에서 사용하는 DropboxAES 트로잔에 대해 이야기하고, 이 악성코드를 탐지할 수 있는 커뮤니티 Sigma 규칙의 링크를 제공하고자 합니다. 일반적으로 DropboxAES는 다른 원격 액세스 트로잔과 크게 다르지 않습니다. 이는 APT31(또는 BRONZE VINEWOOD) 무기에 비교적 새롭게 추가된 도구입니다. 이 악성코드는 명령 및 제어 통신에 Dropbox 파일 공유 서비스를 사용하기 때문에 해당 이름을 […]
F5의 BIG-IP에서 발견된 CVE-2020-5903 취약점으로 인한 시스템 전체 손상 우려
지난주, 세계 최대의 애플리케이션 전송 네트워크 제품 제공업체 중 하나인 F5 Networks는 사이버 범죄자가 곧 악용할 수 있는 위험한 취약점에 대해 고객들을 경고하기 위해 보안 자문을 발표했습니다. 현재 빠르게 악용되지 않았다면, 곧 악용될 수 있습니다. 이 보안 결함은 로드 밸런서, SSL 미들웨어, 웹 트래픽 조정 시스템, 액세스 게이트웨이, 속도 제한 장치 또는 방화벽으로 작동할 수 […]
규칙 요약: 트로이 목마와 랜섬웨어
오늘의 다이제스트에서는 Saefko RAT, Ursa 트로잔 및 활발히 확산되는 랜섬웨어 변종들을 탐지하는데 도움이 될 수 있는 Threat Bounty Program 회원들이 제공한 콘텐츠를 강조하고자 합니다. Saefko RAT는 2019년 중반에 처음 발견된 .NET으로 작성된 비교적 새로운 원격 액세스 트로잔입니다. Saefko RAT는 감염된 시스템의 로그인을 통해 악성코드를 실행하기 위해 시작 키를 생성하여 지속성을 유지합니다. 그러고 나면 크롬 브라우저의 […]
이 주의 규칙: 타노스 랜섬웨어
오늘의 주간 규칙 섹션에서는, 공개된 규칙에 주목할 것을 권합니다 Emir Erdogan. 이 새로운 규칙은 Thanos 랜섬웨어를 탐지하는 데 도움이 되며, 이는 반-랜섬웨어 솔루션을 우회하기 위해 RIPlace 전술을 무기로 사용했습니다: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos 랜섬웨어는 지난해 말 처음 등장했으며, 그 작성자들은 지하 포럼과 비공개 채널에서 이를 광고했습니다. 이는 서비스형 랜섬웨어로서 기술이 부족한 공격자조차도 고유한 페이로드를 생성할 수 있는 […]