Tag: Ariel Millahuel

Sysmon 로그를 분석하는 더 일반적인 탐지 콘텐츠 외에도 기능이 있는 규칙에 계속 주목하고 있습니다. 오늘의 다이제스트에는 웹 서버 공격을 탐지하기 위한 두 개의 규칙, Outlaw 해킹 그룹 공격의 흔적을 발견하기 위한 규칙(1, 2)의 계속과 GRIFFON 백도어와 Qulab 트로이 목마를 발견할 수 있는 탐지 콘텐츠가 있습니다. 의심스러운 사용자 에이전트 패턴(via web) SOC Prime 팀에 의해 https://tdm.socprime.com/tdm/info/sPx0vvd77u3g/GuZ7OnEBv8lhbg_iHiB9/?p=1 […]

이번 주, 우리 팀과 SOC Prime Threat Bounty Program 참가자들이 작성한 멀웨어 및 APT 활동을 탐지할 수 있는 규칙이 주목을 받았습니다. 저희 다이제스트에서는 지난주에 게시된 흥미로운 규칙에 주목하기를 권장합니다.   APT StrongPity Ariel Millahuel 작성 https://tdm.socprime.com/tdm/info/lC2OEeruDxdg/fos3nHEB1-hfOQir9NI-/?p=1 StrongPity APT (프로메티움으로도 알려짐)는 합법적인 소프트웨어의 오염된 설치 프로그램을 악용하여 피해자를 감염시키고, 이 독점 규칙은 이러한 행동을 파악하는 데 […]

Bladabindi 백도어는 적어도 2013년부터 알려져 있으며, 작성자들은 사이버 보안 트렌드를 모니터링하고 백도어 탐지를 방지하기 위해 개선합니다: 이를 다시 컴파일하고, 새롭게 하며, 다시 해시하기 때문에, IOCs 기반 탐지 콘텐츠는 거의 쓸모가 없습니다. 2018년에 Bladabindi 백도어는 파일리스가 되었고 njRAT / Njw0rm 악성코드에 의해 전달된 2차 페이로드로 사용되었습니다. 백도어는 USB 드라이브를 감염시켜 공격받은 조직 내에서 확산됩니다. 공격자들은 Bladabindi를 […]

Buer 로더를 탐지할 수 있게 하는 Ariel Millahuel이 만든 새로운 커뮤니티 규칙은 Threat Detection Marketplace에서 사용할 수 있습니다: https://tdm.socprime.com/tdm/info/5F93tXFdZmx9/ Buer는 모듈식 로더로, 지난 여름 말 처음 발견되었으며 그 후 이 악성코드는 언더그라운드 마켓플레이스에서 적극적으로 홍보되고 있습니다. Proofpoint 연구원들은 추적한 여러 캠페인에서 Buer 로더가 피싱 이메일과 악성 첨부 파일, 익스플로잇 키트를 통해 유포되었습니다. 이 악성코드는 C로 […]

SOC Prime는 Threat Bounty Program의 참가자들이 개발한 최신 커뮤니티 규칙에 대한 소규모 다이제스트를 여러분께 제공합니다 (https://my.socprime.com/en/tdm-developers). 다이제스트에는 트로이 목마 및 Hidden Tear 랜섬웨어를 탐지하는 데 도움 되는 5개의 규칙이 포함되어 있습니다. 앞으로 특정 위협 행위자나 인기 있는 취약점을 탐지하기 위한 콘텐츠 선정을 계속해서 발표할 예정입니다.   Hidden Tear 랜섬웨어 아리엘 밀라후엘 – https://tdm.socprime.com/tdm/info/K6UvKXunM7lJ/ Hidden Tear […]