이번 주 사이버 보안 커뮤니티는 최상위 보안 업체 중 하나가 침해되었다는 소식에 충격을 받았습니다. 공격자들은 FireEye가 고객의 보안을 테스트하기 위해 사용하는 Red Team 도구에 관심을 갖고 정부 고객과 관련된 정보를 찾고 있었습니다. 조사가 진행 중이며 F.B.I. 사이버 부서가 관여하고 있습니다. 의심되는 해커에 대한 공식 정보는 보고되지 않았지만, The New York Times에 따르면, 관여된 F.B.I. 요원들은 […]
최근에 우리 출판물 중 다수는 다양한 랜섬웨어 변종에 할애되었으며, Matrix 랜섬웨어 특성을 감지하는 규칙은 Ragnar Locker나 Maze를 식별하는 데 도움이 되지 않습니다. 악성 코드는 끊임없이 변화하고 있으며, 작성자는 보안 연구자에게 알려진 IOC뿐만 아니라 위협 추적 콘텐츠를 그들의 ‘발명품’에 무력화하기 위해 행동도 변경합니다. 현대 랜섬웨어에서는 전염 방식, 보안 솔루션 우회, 프로세스 비활성화, 추가 기능 및 지속성 […]
다시 한 번, 우리는 자랑스럽게 우리의 룰 다이제스트를 소개하게 되어 기쁩니다. 이번에는 위협 현상금 프로그램 참가자들뿐만 아니라 SOC Prime 팀의 탐지 콘텐츠를 보여줍니다. 오늘은 Valak과 HanaLoader 악성코웨어에 대해 조금 이야기하고, 데이터 덤프 및 MSBuild 남용 탐지, 그리고 명령줄 인수 하이재킹에 대해 설명하겠습니다. Valak 악성코드는 2019년 말 처음 관찰된 복잡한 모듈식 아키텍처를 가진 악성코드입니다. 연구자들은 관찰했습니다 […]
오늘의 다이제스트에서는 Saefko RAT, Ursa 트로잔 및 활발히 확산되는 랜섬웨어 변종들을 탐지하는데 도움이 될 수 있는 Threat Bounty Program 회원들이 제공한 콘텐츠를 강조하고자 합니다. Saefko RAT는 2019년 중반에 처음 발견된 .NET으로 작성된 비교적 새로운 원격 액세스 트로잔입니다. Saefko RAT는 감염된 시스템의 로그인을 통해 악성코드를 실행하기 위해 시작 키를 생성하여 지속성을 유지합니다. 그러고 나면 크롬 브라우저의 […]
오늘은 토요일로, 다음 규칙 요약 시간이 다가왔다는 의미입니다. 이번 주에 발표된 악성코드 탐지를 위한 흥미로운 콘텐츠에 대해 알려 드리겠습니다. 그리고 참가자들이 위협 기여 프로그램 에 게재한 규칙에도 특별히 주목합니다. 첫 번째로, 아리엘 밀라웰이 발표한 규칙부터 시작합니다. 이 규칙은 보안 솔루션이 STRRAT 트로이목마를 감지하도록 돕습니다: https://tdm.socprime.com/tdm/info/TO2qaXt0OvI5/m3zowXIBPeJ4_8xcBtsy/?p=1 STRRAT는 Java 기반 원격 관리 트로이목마로, 브라우저와 이메일 클라이언트에 저장된 […]
이번 주 우리 규칙 요약 은 보통보다 더 많은 내용을 다룹니다. 이는 국가 지원 행위자의 최근 공격, 사이버 범죄자들의 악성코드 캠페인, 그리고 Windows 원격 분석을 악용한 사례를 탐지하기 위한 규칙을 컴파일합니다. Mustang Panda는 중국 기반의 위협 그룹으로, 새로운 도구와 전술을 신속하게 자신들의 작전에 통합할 수 있는 능력을 입증했습니다. 이 APT 그룹은 일반적으로 비정부 기구를 […]
안녕하세요 여러분, 이번 주에도 다시 돌아와서 참가자들이 제출한 다섯 가지 새로운 규칙을 소개합니다. 위협 현상금 프로그램. 이전 요약본은 여기에서 확인할 수 있으며, 질문이 있으면 채팅으로 환영합니다. Pykspa 웜형 악성코드는 지속성을 유지하기 위해 스스로 설치될 수 있으며, 추가 명령을 위한 포트를 듣고, 시스템에 추가 악성 도구를 떨어뜨릴 수 있습니다. 이 악성코드는 대체 데이터 스트림에 파일을 생성하고, […]
최신 Rule Digest를 여러분께 소개하게 되어 기쁩니다. 이번에는 이전 다이제스트와는 달리, SOC Prime 팀만의 규칙으로 구성되어 있습니다. 이 주제는 cmdline을 통해 sysmon 로그를 분석하여 악의적인 활동을 찾는 데 도움이 되는 모든 규칙을 포함하고 있습니다. 그러나 Rule Digest로 직접 이동하기 전에, SOC Prime Threat Bounty Program 멤버들의 규칙들이 이번 주 우리 블로그에 게시되었습니다. 이번 주의 규칙: […]
이번 주 다이제스트에는 참가자가 독점적으로 개발한 규칙이 포함되어 있습니다 위협 보상 프로그램. 뒤에 있는 위협 행위자 최근 Ursnif 변종 은 여전히 진행 중인 표적 사이버 범죄 작전을 수행할 가능성이 있습니다. 이러한 캠페인의 핵심은 Ursnif 트로이목마의 변종으로, 행위자의 특별한 필요에 맞춰 다운로드 및 정찰 도구로 재사용되었습니다. 이 행위자가 사용한 기술, 예를 들어 LOLBins, 강력한 난독화, COM […]
이 요약에는 Threat Bounty Program 멤버와 SOC 프라임 팀의 규칙이 포함되어 있습니다. Arunkumar Krishna의 규칙으로 시작합시다. 이는 우리 규칙 요약에 처음 등장하는 것이며 CVE-2020-0932: Microsoft SharePoint의 원격 코드 실행 문제. CVE-2020-0932는 4월에 패치되었으며, 인증된 사용자가 SharePoint 서버에서 임의의 코드를 실행할 수 있도록 합니다. SharePoint의 기본 설정은 모든 인증된 사용자가 이 취약점을 악용할 수 있도록 허용합니다. […]