SOC Prime 및 Humio 통합: 기술적 하이라이트

Posted on by Alla Yurchenko

SOC Prime는 글로벌 조직이 번개 같은 속도로 신흥 위협을 효율적으로 탐색할 수 있도록 협업 사이버 방어를 위한 가장 크고 진보된 플랫폼을 운영합니다. SOC Prime의 Detection as Code 플랫폼 Sigma 기반 최신 위협 탐지 콘텐츠를 큐레이트하고 25개 이상의 SIEM, EDR, 그리고 XDR 플랫폼과 통합합니다. 180,000개 이상의 검증되고 맥락을 풍부하게 한 탐지 및 대응 알고리즘의 광범위한 컬렉션이 […]

시그마 규칙: 아웃로우 해킹 그룹

Posted on by Eugene Tkachenko

SOC Prime 팀은 Outlaw 해킹 그룹의 알려진 지표를 탐지할 수 있는 IOC를 기반으로 한 새로운 Sigma 규칙을 발표했습니다. Threat Detection Marketplace에서 사용 가능한 번역을 보려면 링크를 확인하세요: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ 또한, 당신은 사용할 수 있습니다 Uncoder 를 사용하여 SIEM 환경에 접근하지 않고도 Sigma 규칙을 여러 지원 플랫폼으로 변환할 수 있습니다. 우리는 최근 더 많은 기업들이 이 무료 도구를 […]

규칙 요약. APT 및 악성코드: 이번 주 발행된 콘텐츠

Posted on by Eugene Tkachenko

이번 주, 우리 팀과 SOC Prime Threat Bounty Program 참가자들이 작성한 멀웨어 및 APT 활동을 탐지할 수 있는 규칙이 주목을 받았습니다. 저희 다이제스트에서는 지난주에 게시된 흥미로운 규칙에 주목하기를 권장합니다.   APT StrongPity Ariel Millahuel 작성 https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 StrongPity APT (프로메티움으로도 알려짐)는 합법적인 소프트웨어의 오염된 설치 프로그램을 악용하여 피해자를 감염시키고, 이 독점 규칙은 이러한 행동을 파악하는 데 […]

이번 주의 규칙: 악성 파일의 이중 확장자 가능성

Posted on by Eugene Tkachenko

적대자는 악성 실행 파일을 이미지, 문서 또는 압축 파일로 가장하여, 파일 아이콘을 바꾸고 파일 이름에 허위 확장자를 추가할 수 있습니다. 이러한 “조작된” 파일은 종종 피싱 이메일의 첨부 파일로 사용되며, Windows XP 및 그 이후 시스템에서 기본적으로 활성화된 “알려진 파일 형식 확장명 숨기기” 옵션으로 인해 Windows 시스템을 감염시키는 상당히 효과적인 방법입니다. 실제 파일 확장자는 파일 탐색기 […]

위협 탐지 콘텐츠: Bladabindi 백도어 발견하기

Posted on by Eugene Tkachenko

Bladabindi 백도어는 적어도 2013년부터 알려져 있으며, 작성자들은 사이버 보안 트렌드를 모니터링하고 백도어 탐지를 방지하기 위해 개선합니다: 이를 다시 컴파일하고, 새롭게 하며, 다시 해시하기 때문에, IOCs 기반 탐지 콘텐츠는 거의 쓸모가 없습니다. 2018년에 Bladabindi 백도어는 파일리스가 되었고 njRAT / Njw0rm 악성코드에 의해 전달된 2차 페이로드로 사용되었습니다. 백도어는 USB 드라이브를 감염시켜 공격받은 조직 내에서 확산됩니다. 공격자들은 Bladabindi를 […]

4월의 화려한 SOC Prime TDM 업데이트

Posted on by Veronika Telychko

이번 릴리스에서 우리는 훌륭한 작업을 수행했으며, 오늘은 SOC Prime Threat Detection Marketplace (TDM)의 새로운 기능과 개선사항을 소개하게 되어 기쁩니다. 새로운 기능을 확인해보세요.새로운 플랫폼가장 원하는 혁신은 인기 있는 몇몇 플랫폼의 지원입니다.CrowdStrike이제 CrowdStrike 환경에서 TDM 규칙을 사용하여 위협을 검색할 수 있습니다. ‘CrowdStrike에서 검색’ 통합 버튼도 제공되어 쿼리를 복사하고 붙여넣을 필요가 없습니다. Humio이 플랫폼의 콘텐츠가 이제 SOC Prime […]

시그마 룰: Sophos 방화벽 Asnarok 악성코드 캠페인

Posted on by Eugene Tkachenko

Sophos XG Firewall에 대한 긴급 보안 업데이트가 이번 토요일에 출시되었습니다. 이 업데이트는 실제로 악용되고 있는 제로데이 SQL 인젝션 원격 코드 실행 취약점을 패치합니다. 이 취약점은 사이버 범죄자들이 Sophos 방화벽의 관리 인터페이스를 통해 이를 손상시키고 Asnarok 맬웨어를 배포할 수 있게 합니다. 이 트로이 목마는 방화벽의 라이선스와 일련번호, 사용자 이메일, 관리자의 솔트된 SHA256 해시, 암호화된 비밀번호를 훔칩니다. […]

탐지 콘텐츠: Ursnif 트로이목마 활동 찾기

Posted on by Eugene Tkachenko

Emir Erdogan의 ‘Process Injection by Ursnif (Dreambot Malware)’ 전용 규칙이 Threat Detection Marketplace에 출시되었습니다: https://tdm.socprime.com/tdm/info/IIfltgwf9Tqh/piHTv3EBjwDfaYjKDztK/  Ursnif 뱅킹 트로이 목마는 대략 13년 동안 다양한 변종으로 공격자들에 의해 사용되었으며, 끊임없이 새로운 기능을 추가하고 보안 솔루션을 피하는 새로운 기술을 습득해 왔습니다. 이 소스 코드는 2014년에 유출되었으며, 그 이후 Ursnif는 자주 Top 10 Malware 차트에 오르면서, 다양한 트로이 목마의 […]

Buer 로더의 흔적을 발견하기 위한 위협 탐지 콘텐츠

Posted on by Eugene Tkachenko

Buer 로더를 탐지할 수 있게 하는 Ariel Millahuel이 만든 새로운 커뮤니티 규칙은 Threat Detection Marketplace에서 사용할 수 있습니다: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer는 모듈식 로더로, 지난 여름 말 처음 발견되었으며 그 후 이 악성코드는 언더그라운드 마켓플레이스에서 적극적으로 홍보되고 있습니다. Proofpoint 연구원들은 추적한 여러 캠페인에서 Buer 로더가 피싱 이메일과 악성 첨부 파일, 익스플로잇 키트를 통해 유포되었습니다. 이 악성코드는 C로 […]

개발자 인터뷰: Den Iuzvyk

Posted on by Alla Yurchenko

SOC Prime는 SOC Prime Threat Bounty Developer Program의 참가자와의 또 다른 인터뷰를 소개합니다 (https://my.socprime.com/en/tdm-developers). 우리는 Threat Bounty Program에 참여한 6개월 동안 60개 이상의 최고 품질과 탐지 가치를 지닌 커뮤니티 규칙을 발표한 Den Iuzvyk를 소개하고자 합니다.블로그에서 콘텐츠 개발자와의 인터뷰를 더 읽어보세요: https://socprime.com/en/tag/interview/ 자기 소개와 위협 사냥 경험에 대해 조금 말씀해 주세요. 제 이름은 Den Iuzvyk이고, 우크라이나 키이브 […]