위협 탐지 콘텐츠: TAINTEDSCRIBE 트로이 목마

Posted on by Eugene Tkachenko

지난주, CISA, FBI, 그리고 DoD는 악성코드 분석 보고서를 발표했습니다 최근 발견된 악명 높은 라자루스 그룹의 도구에 대한 자료로, 이 도구들은 북한 정부의 이익을 위한 작전을 수행합니다. COPPERHEDGE, TAINTEDSCRIBE, PEBBLEDASH라는 악성코드 변종은 정찰 및 대상 시스템의 기밀 정보를 삭제하는 데 사용될 수 있습니다. TAINTEDSCRIBE 악성코드는 Microsoft의 나레이터로 위장한 백도어 임플란트로 사용됩니다. 라자루스 그룹은 C&C 서버에서 악성 […]

탐지 콘텐츠: Netwire RAT 탐색하기

Posted on by Eugene Tkachenko

NetWire는 사이버 범죄자들이 2012년부터 사용해 온 NetWiredRC 악성코드 계열의 일환인 공개적으로 이용 가능한 원격 액세스 트로이 목마입니다. 주요 기능은 자격 증명 탈취와 키로깅에 중점을 두지만, 원격 제어 기능도 있습니다. 공격자들은 종종 악성 스팸 및 피싱 이메일을 통해 NetWire를 배포합니다.  최근 캠페인에서 사이버 범죄자들은 독일 사용자들을 대상으로 독일 택배, 소포 및 특급 우편 서비스 DHL로 가장한 […]

개발자 인터뷰: 에미르 에르도안

Posted on by Alla Yurchenko

우리는 계속해서 Threat Bounty Program의 멤버들을 인터뷰하고 있으며 (https://my.socprime.com/en/tdm-developers) 오늘은 Emir Erdogan을 소개하고자 합니다. Emir는 2019년 9월부터 프로그램에 참여하고 있으며, 그의 이름으로 110개 이상의 Sigma 규칙을 발표했습니다. Emir는 실제 위협을 탐지하기 위한 YARA 규칙도 발표하고 있습니다. 그의 규칙은 종종 우리 블로그 게시물에서 찾아볼 수 있습니다: 규칙 다이제스트, 위협 헌팅 콘텐츠, 그리고 이번 주의 규칙. Emir, […]

위협 사냥 콘텐츠: HawkEye 다중 탐지

Posted on by Eugene Tkachenko

우리는 Emir Erdogan의 새로운 규칙으로 주를 시작합니다 – HawkEye Multiple Detection (Covid19 테마 피싱 캠페인). 이 악성코드는 Predator Pain으로도 알려져 있으며, 감염된 시스템에서 비트코인 지갑 정보와 브라우저 및 메일 클라이언트의 자격 증명을 포함한 다양한 민감 정보를 훔칩니다. 이 스틸러는 스크린샷을 찍을 수 있으며, 키로거로도 작동할 수 있습니다. 이 악성코드는 2013년부터 배포되고 있으며, 다크 웹에서 서비스로 […]

규칙 요약: RCE, CVE, OilRig 및 더 많은 것들

Posted on by Eugene Tkachenko

이 요약에는 Threat Bounty Program 멤버와 SOC 프라임 팀의 규칙이 포함되어 있습니다. Arunkumar Krishna의 규칙으로 시작합시다. 이는 우리 규칙 요약에 처음 등장하는 것이며 CVE-2020-0932: Microsoft SharePoint의 원격 코드 실행 문제. CVE-2020-0932는 4월에 패치되었으며, 인증된 사용자가 SharePoint 서버에서 임의의 코드를 실행할 수 있도록 합니다. SharePoint의 기본 설정은 모든 인증된 사용자가 이 취약점을 악용할 수 있도록 허용합니다. […]

이번 주의 규칙: 네필림/네피림 랜섬웨어 탐지

Posted on by Eugene Tkachenko

이번 주에는 Nefilim/Nephilim 랜섬웨어 탐지를 돕는 Emir Erdogan의 커뮤니티 Sigma 규칙을 강조하고자 합니다 파괴적인 공격에 사용됩니다. 이 랜섬웨어 군은 두 달 전에 처음 발견되었으며, 그 코드는 작년 여름 공개 제휴 프로그램으로 등장한 NEMTY 랜섬웨어를 기반으로 합니다. NEMTY가 두 개의 별도 프로젝트로 분기되었거나, RaaS 운영이 비공개로 전환되었거나, 또는 적들이 소스 코드를 다른 그룹에 판매한 것으로 보입니다. […]

위협 사냥 콘텐츠: Remcos RAT COVID19 캠페인

Posted on by Eugene Tkachenko

Remcos RAT는 2016년 처음 발견되었습니다. 이제 합법적인 원격 액세스 도구로 주장되지만 여러 글로벌 해킹 캠페인에서 사용되었습니다. 다양한 사이트와 포럼에서 사이버 범죄자들은 이 멀웨어의 크랙 버전을 광고, 판매 및 제공하고 있습니다. 이후 2월 말부터보안 연구원들은 Remcos Trojan을 배포하고 피싱 이메일에서 COVID-19 테마를 이용하는 여러 캠페인을 발견했습니다.  몇 주 전, 또 다른 캠페인이 미국의 중소기업을 대상으로 한 […]

탐지 콘텐츠: Floxif 트로잔

Posted on by Eugene Tkachenko

Floxif 트로이목마는 주로 Winnti 그룹에 의해 사용된 것으로 알려져 있으며, 공격자는 공식 사이트에서 사용자들이 다운로드한 감염된 CCleaner와 함께 이를 배포했습니다. 공격은 2017년 9월에 발생했으며, 공격자들은 CCleaner의 빌드 환경에 접근한 것으로 추정됩니다. Floxif 트로이목마는 Nyetya 트로이목마와 함께 감염된 시스템에 대한 정보를 수집하고 다음 단계 페이로드를 전달하는 데 사용되었습니다. 이 공격 동안 사이버 범죄자들은 Google과 Microsoft를 포함한 […]

사용자 정의 필드 매핑

Posted on by Alla Yurchenko

이 블로그 게시물은 SOC Prime Threat Detection Marketplace의 프리미엄 구독 계획에서 사용할 수 있는 사용자 정의 데이터 스키마 매핑 기능에 대해 설명합니다. 사용자 정의 데이터 스키마 매핑을 통해 대부분의 로그 소스 및 플랫폼에 대해 사용자 정의 매핑 구성을 구축할 수 있으며, 이를 통해 규칙에 자동으로 적용하여 Threat Detection Marketplace 을 사용하여 플랫폼과 더 호환되도록 할 […]

규칙 요약: 웹 서버 보안 및 트로이 목마 탐지

Posted on by Eugene Tkachenko

Sysmon 로그를 분석하는 더 일반적인 탐지 콘텐츠 외에도 기능이 있는 규칙에 계속 주목하고 있습니다. 오늘의 다이제스트에는 웹 서버 공격을 탐지하기 위한 두 개의 규칙, Outlaw 해킹 그룹 공격의 흔적을 발견하기 위한 규칙(1, 2)의 계속과 GRIFFON 백도어와 Qulab 트로이 목마를 발견할 수 있는 탐지 콘텐츠가 있습니다. 의심스러운 사용자 에이전트 패턴(via web) SOC Prime 팀에 의해 https://tdm.socprime.com/tdm/info/sPx0vvd77u3g/GuZ7OnEBv8lhbg_iHiB9/?p=1 […]