팬데믹이 시작된 이후, 화상 회의 솔루션은 많은 조직의 워크플로우에서 필수적인 부분이 되었습니다. 처음에는 Zoom이 앞서갔고, 많은 사이버 범죄자들이 즉시 이를 피싱 캠페인에 이용하기 시작하여, 이전에 이 기술을 사용하지 않았던 대량의 직원들이 있다는 사실을 악용했습니다. 곧 보안 연구원들은 부분적으로만 닫을 수 있는 취약점을 발견했습니다, 적절한 설정으로 조직은 Google Meet와 Microsoft Teams로 전환했습니다. 당연히, 보안 연구원들은 이러한 […]
오늘 우리는 자랑스럽게도 오스만 데미르가 개발한 독점적인 Sigma 규칙에 대해 이번 주의 규칙 타이틀을 부여했습니다. 오스만 데미르 VHD 랜섬웨어 탐지를 가능하게 하기 위해: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 이 랜섬웨어를 사용하는 최초의 공격은 2020년 3월에 시작되었으며, 연구자들은 최근에야 연결했습니다. 그들을 라자루스 APT와. 이는 일부 공격에서 MATA 크로스 플랫폼 프레임워크의 사용 감지로 촉진되었으며, 이는 악명 높은 북한 위협 행위자에 의해 […]
중대한 취약성 CVE-2020-3452가 Cisco ASA 및 Cisco Firepower에 대해 발견됨에 따라, 이 취약성에 대한 탐지 규칙의 출현으로 인해, 다시 한 번 정기 출판 일정을 변경합니다. CVE-2020-3452 – 7월의 또 하나의 골칫거리 CVE-2020-3452는 작년 말에 발견되었지만 이 취약성을 수정하기 위한 업데이트가 Cisco에서 발표될 때까지 공개되지 않았습니다. 보안 권고는 어제 발표되었고 몇 시간 후 연구자가 첫 PoC […]
오늘, “가능한 우회성 DLL 로딩 / AWL 우회 (명령줄을 통해)” 규칙이 SOC Prime 팀에 의해 우리의 열에 추가되었습니다.”이번 주의 규칙“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 아시다시피, 애플리케이션 화이트리스트(AWL)는 사전에 승인되고 지정된 프로그램만 실행되도록 허용하는 사전 예방적 접근 방식입니다. 화이트리스트에 포함되지 않은 모든 다른 프로그램은 기본적으로 차단되므로 AWL은 종종 네트워크 내의 엔드포인트에 침투하고 실행되는 악성 코드를 차단하는 데 사용됩니다. 그러나 […]
오늘의 주간 규칙 섹션에서는, 공개된 규칙에 주목할 것을 권합니다 Emir Erdogan. 이 새로운 규칙은 Thanos 랜섬웨어를 탐지하는 데 도움이 되며, 이는 반-랜섬웨어 솔루션을 우회하기 위해 RIPlace 전술을 무기로 사용했습니다: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 Thanos 랜섬웨어는 지난해 말 처음 등장했으며, 그 작성자들은 지하 포럼과 비공개 채널에서 이를 광고했습니다. 이는 서비스형 랜섬웨어로서 기술이 부족한 공격자조차도 고유한 페이로드를 생성할 수 있는 […]
이번 달, 연구자들은 발견했습니다 미정의된 APT 그룹에 의해 진행된 다단계 공격을. 이 공격 동안, 적대자들은 Cobalt Strike에서 Malleable C2 기능을 사용하여 C&C 통신을 수행하고 최종 페이로드를 제공했습니다. 연구자들은 공격자들이 고급 회피 기술을 사용한다고 언급했습니다. 그들은 악성 Word 매크로에서 페이로드 실행을 지연시키는 것을 관찰했습니다. 또한, 공격자들은 HTTP 응답에서 반환된 jQuery 스크립트 안에 셸코드를 숨기고, 보안 솔루션에 […]
다시 말하지만, 주간 규칙 섹션에서 QBot 멀웨어를 탐지하기 위한 콘텐츠를 강조하고자 합니다. 약 한 달 전, 간단하지만 효과적인 규칙이 Emir Erdogan 에 의해 이미 이 섹션에 게시되었습니다. 그러나 12년 된 트로이 목마는 계속해서 진화하고 있으며, 며칠 전 이에 기반하여 Emir가 QBot 행동 변화를 추적하는 새로운 위협 헌팅 규칙을 생성했습니다: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1 멀웨어의 진화가 그 기본 […]
해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1# 공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 […]
QakBot 은행 트로이 목마(일명 QBot)는 10년 이상 동안 조직에 대한 공격에 사용되었으며, 작성자는 지속적으로 위협 환경 동향을 모니터링하며 제대로 작동하지 않으면 새로운 기능을 추가하거나 제거합니다. 2017년에, 이 악성코드는 웜 같은 기능을 가지고 있으며, 조직에 추가적인 피해를 주기 위해 Active Directory 사용자를 잠글 수 있었습니다. 2019년에는 대항자들이 이 트로이 목마를 미국 정부 기관 에 대한 공격에서 […]
이번 주에는 Nefilim/Nephilim 랜섬웨어 탐지를 돕는 Emir Erdogan의 커뮤니티 Sigma 규칙을 강조하고자 합니다 파괴적인 공격에 사용됩니다. 이 랜섬웨어 군은 두 달 전에 처음 발견되었으며, 그 코드는 작년 여름 공개 제휴 프로그램으로 등장한 NEMTY 랜섬웨어를 기반으로 합니다. NEMTY가 두 개의 별도 프로젝트로 분기되었거나, RaaS 운영이 비공개로 전환되었거나, 또는 적들이 소스 코드를 다른 그룹에 판매한 것으로 보입니다. […]