threat7 효과적인 보안 관리와 대응을 위한 정보 수집 및 자동화 전략: IoC, MITRE ATT&CK, Tabletop 훈련 Linux Malware Mallox 관련 정보를 자동으로 수집하고, 내부 IoC(Indicators of Compromise)를 추가적으로 확인하여 슬랙 채널에 스레드로 등록하는 시스템을 구성하려면, 다음과 같은 단계로 구성할 수 있습니다.1. 데이터 소스 선택Mallox 관련 정보를 수집할 수 있는 데이터 소스를 선택해야 합니다.Malware Information Sharing Platform (MISP): Mallox와 같은 악성코드 정보를 공유하는 플랫폼VirusTotal: 다양한 악성코드 샘플과 관련 IoC 정보를 제공하는 서비스Threat Intelligence 피드: 외부 Threat Intelligence 피드를 통해 Mallox와 관련된 새로운 IoC를 자동으로 수집 가능2. IoC 수집.. 2024. 12. 15. Linux EDR (Endpoint Detection and Response) 솔루션 주요기능과 활용 기법 EDR(Endpoint Detection and Response)을 활용하여 리눅스 환경에서의 방어 회피 공격 탐지 및 위협 분석을 효과적으로 수행하는 방법입니다. 이 과정에서는 EDR 솔루션의 핵심 기능과 리눅스 환경에서의 방어 회피 기법, 그리고 이를 탐지하기 위한 전략입니다.1. EDR의 핵심 기능EDR 솔루션은 다음과 같은 기능을 통해 리눅스 시스템의 보안을 강화합니다:실시간 모니터링: EDR은 실시간으로 시스템에서 발생하는 모든 활동을 모니터링하여 이상 징후를 탐지합니다.행동 기반 탐지: 서명 기반 탐지 외에도, 비정상적인 행동을 통해 잠재적 위협을 탐지합니다.위협 인텔리전스 통합: 최신 위협 정보를 바탕으로 새로운 공격 벡터를 탐지합니다.사고 대응 자동화: 탐지된 위협에 대해 자동화된 대응 절.. 2024. 12. 1. OTX Threat Intelligence API 정보 수집 및 IoC Hunting 자동화 OTX(Open Threat Exchange)는 AlienVault에서 운영하는 플랫폼으로, 여러 보안 위협 정보를 제공합니다. OTX Threat Intelligence(OTX TI) 정보를 API로 수집하는 방법입니다.OTX API 사용하기API Key 발급OTX API를 사용하려면 먼저 API 키를 발급받아야 합니다. OTX 웹사이트에서 회원가입 후 API 키를 생성할 수 있습니다.API 호출OTX는 RESTful API를 제공하며, 다양한 엔드포인트를 통해 정보를 조회할 수 있습니다. 예를 들어, 특정 Indicators of Compromise(IoC)에 대한 정보를 조회하거나, 특정 그룹의 트랜드를 확인할 수 있습니다.인증과 요청API 요청 시 HTTP 요청을 보내고, 이를 인증하기 위해 발급.. 2024. 10. 25. 소프트웨어 소스코드 난독화(Code Obfuscation) 및 악성코드 탐지 기법 코드 난독화(Obfuscation)는 소스 코드 또는 기계 코드의 이해를 어렵게 하여 분석이나 리버스 엔지니어링(Reverse Engineering)을 방지하기 위한 기술입니다. 보안성을 높이기 위해 주로 사용되며, 악성 코드나 저작권 보호를 위해서도 사용될 수 있습니다. 코드 난독화는 주로 다음과 같은 기법들을 포함합니다.주요 난독화 기법변수 이름 변경: 의미 없는 이름으로 변수명을 변경하여 코드의 가독성을 낮춥니다. # Before def add_numbers(a, b): result = a + b return result # After def x1(x2, x3): x4 = x2 + x3 return x4코드 구조 변경: 코드 블록을 재구성하거나 불필요한 코드를 추가하여 .. 2024. 9. 15. 외부 IP주소 평판검사 정보조회 수집 및 불량/악성 대응 활용 (TI 연계) IP 평판 정보를 Redis와 같은 NoSQL 데이터베이스에 저장하여 TTL(대략 1주일) 동안 유지하면서, 이를 활용하는 방법입니다. 이를 통해 악의적인 IP 주소를 식별하고 차단하거나 보안 이벤트를 모니터링하는 데 활용할 수 있습니다.주요 API 소개 및 활용1. AbuseIPDB기능: IP 평판 점수, 악용 기록, 신고 기능활용 사례: 신고된 악성 IP 주소를 확인하고 블랙리스트에 추가2. IPQualityScore기능: IP 평판 점수, 프록시/VPN 탐지, 피싱/스팸 탐지활용 사례: 의심스러운 IP를 탐지하고 사용자 세션을 모니터링3. VirusTotal기능: 멀웨어, 피싱 URL 검사, IP 평판 정보활용 사례: 멀웨어와 피싱 URL을 사전에 탐지하고 차단4. Talos Intelligence.. 2024. 9. 14. 이전 1 2 다음 728x90
