작동 원리 이 Uncoder AI 기능은 즉각적인 탐지 쿼리 생성을 가능하게 합니다 VMware Carbon Black Cloud 구조화된 위협 인텔리전스를 사용하여, 예를 들어 CERT-UA#12463에서 제공된 정보를 활용합니다. 이 경우, Uncoder AI는 UAC-0099 활동과 관련된 지표를 처리하고 이를 문법적으로 올바른 도메인 쿼리로 형식화합니다. 구문 분석된 위협 데이터 출처 위협 보고서에는 악성 네트워크 연결에 사용된 도메인 이름이 포함되어 […]
작동 원리 이 Uncoder AI 기능은 광범위한 KQL 탐지 쿼리를 생성합니다 Microsoft Sentinel에 기반하여, 인디케이터는 CERT-UA#14045 (DarkCrystal RAT)으로부터의 것입니다. AI는 위협 보고서를 처리하여 다음과 같은 문자열을 로그에서 검색할 수 있는 쿼리를 출력합니다: “Розпорядження.zip” – 악성코드를 숨기기 위해 사용된 의심스러운 우크라이나어 파일 이름 “imgurl.ir” – 명령 및 제어 인프라와 관련된 알려진 악의적인 도메인 쿼리 구문: search […]
작동 방식 Uncoder AI의 이 기능은 위협 보고서에서 구조화된 IOC를 수집합니다. 이 경우 자격 증명 피싱과 관련된 수십 개의 악성 도메인(예: 가짜 Google, Microsoft 및 Telegram 로그인 포털)을 처리합니다. 이 도구는 데이터를 처리 및 구조화하여 Splunk 호환 탐지 쿼리를 자동으로 출력합니다. 도메인 기반 필터링 dest_host 출력 쿼리는 다음에 대한 OR 조건의 시퀀스를 사용합니다 dest_host 필드: […]
작동 방식 1. IOC 추출 Uncoder AI는 위협 보고서(왼쪽 패널)를 스캔하고 다음과 연관된 악성 네트워크 인프라를 식별합니다: HATVIBE와 CHERRYSYSPY 로더 의심스러운 통신 및 명령 및 제어 도메인: trust-certificate.net namecheap.com enrollmenttdm.com n247.com mtw.ru Uncoder AI 탐색 이 도메인은 다음과 연관되어 있습니다: 가짜 인증서 유인책 Python 기반 로더 악성 HTA 스테이저 피싱 또는 포스트 익스플로잇 스크립트를 통한 […]
작동 원리 1. 위협 보고서에서 IOC 추출 Uncoder AI는 사고 보고서(왼쪽)에서 지표를 자동으로 구문 분석하고 분류합니다. 포함 내용: 악성 도메인, 예: mail.zhblz.com docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com 이 도메인들은 피싱 문서, 위조된 로그인 포털, 데이터 유출 엔드포인트와 연결되어 있습니다. Uncoder AI 탐색 2. SentinelOne 호환 쿼리 생성 오른쪽에서 Uncoder AI는 SentinelOne Event 쿼리 를 사용하여 DNS in contains […]
작동 방식 1. 위협 보고서에서 IOC 구문 분석 Uncoder AI는 위협 보고서에서 주요 관찰값을 자동으로 식별하고 추출합니다. 여기에는 다음이 포함됩니다: 악성 도메인 예: docs.google.com.spreadsheets.d.l1p6eeakedbmwteh36vana6hu-glaekssht-boujdk.zhblz.com mail.zhblz.com doc.gmail.com.gyehdhhrggdi1323sdnhnsiwvh2uhdqjwdhhfjcjeuejcj.zhblz.com 이러한 IOC는 공격자가 피싱 및 피해자 메일박스에 접근하기 위해 사용합니다. Uncoder AI 탐색 2. Sentinel 호환 KQL 생성 오른쪽에, Uncoder AI는 Microsoft Sentinel 검색 쿼리 를 생성합니다 search 연산자를 […]
작동 방식 1. 위협 보고서에서 IOC 추출 Uncoder AI는 위협 보고서의 구조적 데이터를 자동으로 구문 분석하여 다음을 추출합니다: 도메인 및 하위 도메인 (예를 들어, mail.zhblz.com, doc.gmail.com.gyehdhhrggdi…) URL 및 경로 피싱 및 페이로드 전송 서버에서 관련 IP, 해시 및 파일명 (왼쪽에서 본 것처럼) 이는 여러 출처에서 IOC를 복사하고 표준화하는 것에 비해 많은 수작업을 절약합니다. Uncoder AI […]
특히 암호와 같은 민감한 데이터에 대한 무단 접근을 식별하는 것은 사이버 보안 팀에게 여전히 중요한 문제입니다. 이러한 접근이 Notepad 같은 합법적인 도구를 통해 이루어질 때, 가시성은 도전 과제가 됩니다. 그러나 Uncoder AI의 전체 요약 기능으로, 보안 분석가는 바로 그 유형의 위협을 대상으로 하는 탐지 규칙의 논리를 즉시 이해할 수 있습니다. Uncoder AI 탐색 최근 사례에서 […]
공격자들은 자주 신뢰받는 도구인 curl.exe 를 사용하여 트래픽을 SOCKS 프록시 를 통해 터널링하고 심지어 .onion 도메인에 도달합니다. 데이터 탈취 또는 명령 및 제어 통신을 위해서든, 그러한 활동은 명시적으로 탐지하지 않으면 잘 드러나지 않습니다. 이것이 바로 크라우드스트라이크 엔드포인트 보안 쿼리 언어 가 팀에게 할 수 있게 해주는 것입니다. 그러나 논리가 복잡해질 때, 탐지 엔지니어와 SOC 분석가는 […]
공격자의 플레이북에서 더 고급 전술 중 하나는 손상 흔적을 지우기 위해 이벤트 로그 구성을 조작하는 것입니다. 이러한 시도를 감지하려면 Windows 레지스트리 수정 은 복잡합니다. 종종 레지스트리 키와 권한에 따라 필터링하는 자세한 Splunk 쿼리가 필요합니다. 이러한 쿼리를 빠르게 이해하기 위해 분석가들은 Uncoder AI의 AI 생성 의사 결정 트리 기능을 활용하고 있습니다. 이는 쿼리를 요약하는 것에 그치지 […]