IOC 규칙: 뱅킹 트로이 목마 Grandoreiro

Posted on by Eugene Tkachenko

최근 발표된 기사 “SIGMA vs Indicators of Compromise“는 우리의 수석 위협 사냥 엔지니어인 Adam Swan이 작성한 것으로, IOCs 기반 콘텐츠에 비해 Sigma 규칙을 사용한 위협 사냥의 이점을 보여줍니다. IOC Sigma 규칙을 무시할 수는 없는 것은, 그것들이 침해의 사실을 식별하는 데 도움을 줄 수 있기 때문입니다. 더욱이 모든 상대가 멀웨어를 신속히 변경하지는 않기 때문에, 이런 규칙은 오랫동안 […]

SIGMA 대 위협 지표

Posted on by Adam Swan

목적 이 게시물의 목적은 SIGMA와 IOC 기반 탐지 방법의 장점을 강조하는 것입니다. 소개 침해 지표 (IOCs) – 보안 연구자들이 보고한 IP, 도메인, 해시, 파일명 등은 시스템과 SIEM에 쿼리되어 침입 여부를 찾습니다. 이러한 지표는 알려진 공격에 대해 작동하며 유용한 수명이 짧고 사후에 검사할 때 가장 유용합니다. 이는 보고서에서 지표가 노출되면 그들이 작성된 악성코드 및 인프라가 쉽게 […]

탐지 콘텐츠: 의료 공급업체에서의 COVID-19 관련 공격

Posted on by Eugene Tkachenko

Osman Demir의 새로운 Sigma 규칙은 의료 공급업체를 대상으로 한 COVID-19 관련 피싱 공격을 탐지하는 데 도움이 됩니다. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/ 이 캠페인은 지난주 말에 알려졌으며 연구자들은 이를 419 사기범들이 COVID-19 대유행을 이용해 비즈니스 이메일 침해 공격과 관련이 있다고 믿고 있습니다. 공격자들은 COVID-19 대유행에 대응하기 위해 필요한 다양한 자재에 대해 문의하는 악성 MS 워드 문서를 첨부한 고도로 표적화된 […]

SOC Prime 및 Humio 통합: 기술적 하이라이트

Posted on by Alla Yurchenko

SOC Prime는 글로벌 조직이 번개 같은 속도로 신흥 위협을 효율적으로 탐색할 수 있도록 협업 사이버 방어를 위한 가장 크고 진보된 플랫폼을 운영합니다. SOC Prime의 Detection as Code 플랫폼 Sigma 기반 최신 위협 탐지 콘텐츠를 큐레이트하고 25개 이상의 SIEM, EDR, 그리고 XDR 플랫폼과 통합합니다. 180,000개 이상의 검증되고 맥락을 풍부하게 한 탐지 및 대응 알고리즘의 광범위한 컬렉션이 […]

시그마 규칙: 아웃로우 해킹 그룹

Posted on by Eugene Tkachenko

SOC Prime 팀은 Outlaw 해킹 그룹의 알려진 지표를 탐지할 수 있는 IOC를 기반으로 한 새로운 Sigma 규칙을 발표했습니다. Threat Detection Marketplace에서 사용 가능한 번역을 보려면 링크를 확인하세요: https://tdm.socprime.com/tdm/info/yyiW6rvv5a00/JiEBzHEBjwDfaYjKqEwv/ 또한, 당신은 사용할 수 있습니다 Uncoder 를 사용하여 SIEM 환경에 접근하지 않고도 Sigma 규칙을 여러 지원 플랫폼으로 변환할 수 있습니다. 우리는 최근 더 많은 기업들이 이 무료 도구를 […]

규칙 요약. APT 및 악성코드: 이번 주 발행된 콘텐츠

Posted on by Eugene Tkachenko

이번 주, 우리 팀과 SOC Prime Threat Bounty Program 참가자들이 작성한 멀웨어 및 APT 활동을 탐지할 수 있는 규칙이 주목을 받았습니다. 저희 다이제스트에서는 지난주에 게시된 흥미로운 규칙에 주목하기를 권장합니다.   APT StrongPity Ariel Millahuel 작성 https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 StrongPity APT (프로메티움으로도 알려짐)는 합법적인 소프트웨어의 오염된 설치 프로그램을 악용하여 피해자를 감염시키고, 이 독점 규칙은 이러한 행동을 파악하는 데 […]

이번 주의 규칙: 악성 파일의 이중 확장자 가능성

Posted on by Eugene Tkachenko

적대자는 악성 실행 파일을 이미지, 문서 또는 압축 파일로 가장하여, 파일 아이콘을 바꾸고 파일 이름에 허위 확장자를 추가할 수 있습니다. 이러한 “조작된” 파일은 종종 피싱 이메일의 첨부 파일로 사용되며, Windows XP 및 그 이후 시스템에서 기본적으로 활성화된 “알려진 파일 형식 확장명 숨기기” 옵션으로 인해 Windows 시스템을 감염시키는 상당히 효과적인 방법입니다. 실제 파일 확장자는 파일 탐색기 […]

위협 탐지 콘텐츠: Bladabindi 백도어 발견하기

Posted on by Eugene Tkachenko

Bladabindi 백도어는 적어도 2013년부터 알려져 있으며, 작성자들은 사이버 보안 트렌드를 모니터링하고 백도어 탐지를 방지하기 위해 개선합니다: 이를 다시 컴파일하고, 새롭게 하며, 다시 해시하기 때문에, IOCs 기반 탐지 콘텐츠는 거의 쓸모가 없습니다. 2018년에 Bladabindi 백도어는 파일리스가 되었고 njRAT / Njw0rm 악성코드에 의해 전달된 2차 페이로드로 사용되었습니다. 백도어는 USB 드라이브를 감염시켜 공격받은 조직 내에서 확산됩니다. 공격자들은 Bladabindi를 […]

4월의 화려한 SOC Prime TDM 업데이트

Posted on by Veronika Zahorulko

이번 릴리스에서 우리는 훌륭한 작업을 수행했으며, 오늘은 SOC Prime Threat Detection Marketplace (TDM)의 새로운 기능과 개선사항을 소개하게 되어 기쁩니다. 새로운 기능을 확인해보세요.새로운 플랫폼가장 원하는 혁신은 인기 있는 몇몇 플랫폼의 지원입니다.CrowdStrike이제 CrowdStrike 환경에서 TDM 규칙을 사용하여 위협을 검색할 수 있습니다. ‘CrowdStrike에서 검색’ 통합 버튼도 제공되어 쿼리를 복사하고 붙여넣을 필요가 없습니다. Humio이 플랫폼의 콘텐츠가 이제 SOC Prime […]

시그마 룰: Sophos 방화벽 Asnarok 악성코드 캠페인

Posted on by Eugene Tkachenko

Sophos XG Firewall에 대한 긴급 보안 업데이트가 이번 토요일에 출시되었습니다. 이 업데이트는 실제로 악용되고 있는 제로데이 SQL 인젝션 원격 코드 실행 취약점을 패치합니다. 이 취약점은 사이버 범죄자들이 Sophos 방화벽의 관리 인터페이스를 통해 이를 손상시키고 Asnarok 맬웨어를 배포할 수 있게 합니다. 이 트로이 목마는 방화벽의 라이선스와 일련번호, 사용자 이메일, 관리자의 솔트된 SHA256 해시, 암호화된 비밀번호를 훔칩니다. […]