위협 사냥 콘텐츠: HawkEye 다중 탐지

Posted on by Eugene Tkachenko

우리는 Emir Erdogan의 새로운 규칙으로 주를 시작합니다 – HawkEye Multiple Detection (Covid19 테마 피싱 캠페인). 이 악성코드는 Predator Pain으로도 알려져 있으며, 감염된 시스템에서 비트코인 지갑 정보와 브라우저 및 메일 클라이언트의 자격 증명을 포함한 다양한 민감 정보를 훔칩니다. 이 스틸러는 스크린샷을 찍을 수 있으며, 키로거로도 작동할 수 있습니다. 이 악성코드는 2013년부터 배포되고 있으며, 다크 웹에서 서비스로 […]

규칙 요약: RCE, CVE, OilRig 및 더 많은 것들

Posted on by Eugene Tkachenko

이 요약에는 Threat Bounty Program 멤버와 SOC 프라임 팀의 규칙이 포함되어 있습니다. Arunkumar Krishna의 규칙으로 시작합시다. 이는 우리 규칙 요약에 처음 등장하는 것이며 CVE-2020-0932: Microsoft SharePoint의 원격 코드 실행 문제. CVE-2020-0932는 4월에 패치되었으며, 인증된 사용자가 SharePoint 서버에서 임의의 코드를 실행할 수 있도록 합니다. SharePoint의 기본 설정은 모든 인증된 사용자가 이 취약점을 악용할 수 있도록 허용합니다. […]

이번 주의 규칙: 네필림/네피림 랜섬웨어 탐지

Posted on by Eugene Tkachenko

이번 주에는 Nefilim/Nephilim 랜섬웨어 탐지를 돕는 Emir Erdogan의 커뮤니티 Sigma 규칙을 강조하고자 합니다 파괴적인 공격에 사용됩니다. 이 랜섬웨어 군은 두 달 전에 처음 발견되었으며, 그 코드는 작년 여름 공개 제휴 프로그램으로 등장한 NEMTY 랜섬웨어를 기반으로 합니다. NEMTY가 두 개의 별도 프로젝트로 분기되었거나, RaaS 운영이 비공개로 전환되었거나, 또는 적들이 소스 코드를 다른 그룹에 판매한 것으로 보입니다. […]

위협 사냥 콘텐츠: Remcos RAT COVID19 캠페인

Posted on by Eugene Tkachenko

Remcos RAT는 2016년 처음 발견되었습니다. 이제 합법적인 원격 액세스 도구로 주장되지만 여러 글로벌 해킹 캠페인에서 사용되었습니다. 다양한 사이트와 포럼에서 사이버 범죄자들은 이 멀웨어의 크랙 버전을 광고, 판매 및 제공하고 있습니다. 이후 2월 말부터보안 연구원들은 Remcos Trojan을 배포하고 피싱 이메일에서 COVID-19 테마를 이용하는 여러 캠페인을 발견했습니다.  몇 주 전, 또 다른 캠페인이 미국의 중소기업을 대상으로 한 […]

탐지 콘텐츠: Floxif 트로잔

Posted on by Eugene Tkachenko

Floxif 트로이목마는 주로 Winnti 그룹에 의해 사용된 것으로 알려져 있으며, 공격자는 공식 사이트에서 사용자들이 다운로드한 감염된 CCleaner와 함께 이를 배포했습니다. 공격은 2017년 9월에 발생했으며, 공격자들은 CCleaner의 빌드 환경에 접근한 것으로 추정됩니다. Floxif 트로이목마는 Nyetya 트로이목마와 함께 감염된 시스템에 대한 정보를 수집하고 다음 단계 페이로드를 전달하는 데 사용되었습니다. 이 공격 동안 사이버 범죄자들은 Google과 Microsoft를 포함한 […]

사용자 정의 필드 매핑

Posted on by Alla Yurchenko

이 블로그 게시물은 SOC Prime Threat Detection Marketplace의 프리미엄 구독 계획에서 사용할 수 있는 사용자 정의 데이터 스키마 매핑 기능에 대해 설명합니다. 사용자 정의 데이터 스키마 매핑을 통해 대부분의 로그 소스 및 플랫폼에 대해 사용자 정의 매핑 구성을 구축할 수 있으며, 이를 통해 규칙에 자동으로 적용하여 Threat Detection Marketplace 을 사용하여 플랫폼과 더 호환되도록 할 […]

규칙 요약: 웹 서버 보안 및 트로이 목마 탐지

Posted on by Eugene Tkachenko

Sysmon 로그를 분석하는 더 일반적인 탐지 콘텐츠 외에도 기능이 있는 규칙에 계속 주목하고 있습니다. 오늘의 다이제스트에는 웹 서버 공격을 탐지하기 위한 두 개의 규칙, Outlaw 해킹 그룹 공격의 흔적을 발견하기 위한 규칙(1, 2)의 계속과 GRIFFON 백도어와 Qulab 트로이 목마를 발견할 수 있는 탐지 콘텐츠가 있습니다. 의심스러운 사용자 에이전트 패턴(via web) SOC Prime 팀에 의해 https://tdm.socprime.com/tdm/info/sPx0vvd77u3g/GuZ7OnEBv8lhbg_iHiB9/?p=1 […]

IOC 규칙: 뱅킹 트로이 목마 Grandoreiro

Posted on by Eugene Tkachenko

최근 발표된 기사 “SIGMA vs Indicators of Compromise“는 우리의 수석 위협 사냥 엔지니어인 Adam Swan이 작성한 것으로, IOCs 기반 콘텐츠에 비해 Sigma 규칙을 사용한 위협 사냥의 이점을 보여줍니다. IOC Sigma 규칙을 무시할 수는 없는 것은, 그것들이 침해의 사실을 식별하는 데 도움을 줄 수 있기 때문입니다. 더욱이 모든 상대가 멀웨어를 신속히 변경하지는 않기 때문에, 이런 규칙은 오랫동안 […]

SIGMA 대 위협 지표

Posted on by Adam Swan

목적 이 게시물의 목적은 SIGMA와 IOC 기반 탐지 방법의 장점을 강조하는 것입니다. 소개 침해 지표 (IOCs) – 보안 연구자들이 보고한 IP, 도메인, 해시, 파일명 등은 시스템과 SIEM에 쿼리되어 침입 여부를 찾습니다. 이러한 지표는 알려진 공격에 대해 작동하며 유용한 수명이 짧고 사후에 검사할 때 가장 유용합니다. 이는 보고서에서 지표가 노출되면 그들이 작성된 악성코드 및 인프라가 쉽게 […]

탐지 콘텐츠: 의료 공급업체에서의 COVID-19 관련 공격

Posted on by Eugene Tkachenko

Osman Demir의 새로운 Sigma 규칙은 의료 공급업체를 대상으로 한 COVID-19 관련 피싱 공격을 탐지하는 데 도움이 됩니다. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ 이 캠페인은 지난주 말에 알려졌으며 연구자들은 이를 419 사기범들이 COVID-19 대유행을 이용해 비즈니스 이메일 침해 공격과 관련이 있다고 믿고 있습니다. 공격자들은 COVID-19 대유행에 대응하기 위해 필요한 다양한 자재에 대해 문의하는 악성 MS 워드 문서를 첨부한 고도로 표적화된 […]