Threat Hunting

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

detecting-shadow-it-cloud-usage는 프록시 로그, DNS 쿼리, netflow에서 승인되지 않은 SaaS 및 클라우드 사용을 식별하는 데 도움을 줍니다. 도메인을 분류하고 승인 목록과 비교하며, detecting-shadow-it-cloud-usage 스킬 가이드의 구조화된 증거를 바탕으로 보안 감사 워크플로를 지원합니다.

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-protocol-anomalies는 OT 및 ICS 네트워크에서 Modbus/TCP와 Modbus RTU의 의심스러운 동작을 탐지하는 데 도움을 줍니다. 여기에는 잘못된 함수 코드, 범위를 벗어난 레지스터 접근, 비정상적인 폴링 주기, 무단 쓰기, 비정상 프레임이 포함됩니다. 보안 감사와 증거 기반 트리아지에 유용합니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

악성코드 분석을 위한 extracting-iocs-from-malware-samples 기술 가이드입니다. 샘플에서 해시, IP, 도메인, URL, 호스트 아티팩트, 검증 단서를 추출해 위협 인텔과 탐지에 활용할 수 있습니다.

exploiting-nopac-cve-2021-42278-42287 skill은 Active Directory에서 noPac 체인(CVE-2021-42278 및 CVE-2021-42287)을 점검할 때 참고하는 실용 가이드입니다. 승인된 레드팀과 Security Audit 사용자가 사전 조건을 확인하고, 워크플로 파일을 검토하며, 추측을 줄이면서 익스플로잇 가능성을 문서화하는 데 도움을 줍니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

detecting-stuxnet-style-attacks 스킬은 PLC 로직 변조, 위장된 센서 데이터, 엔지니어링 워크스테이션 침해, IT-OT 측면 이동을 포함한 Stuxnet 유사 OT 및 ICS 침입 패턴을 탐지하는 데 도움을 줍니다. 프로토콜, 호스트, 프로세스 증거를 함께 활용하는 위협 헌팅, 사고 초기 분류, 공정 무결성 모니터링에 적합합니다.

detecting-sql-injection-via-waf-logs로 WAF 및 감사 로그를 분석해 SQL 인젝션 캠페인을 탐지합니다. Security Audit와 SOC 워크플로우에 맞춰 설계되었으며, ModSecurity, AWS WAF, Cloudflare 이벤트를 파싱하고 UNION SELECT, OR 1=1, SLEEP(), BENCHMARK() 패턴을 분류한 뒤, 출처를 상관 분석해 사건 중심의 조사 결과를 제공합니다.

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.

detecting-process-injection-techniques는 수상한 메모리 내 활동을 분석하고, EDR 경보를 검증하며, Security Audit와 멀웨어 분류 작업에 필요한 process hollowing, APC injection, thread hijacking, reflective loading, classic DLL injection을 식별하는 데 도움을 줍니다.

detecting-process-hollowing-technique는 Windows 텔레메트리에서 일시 중단된 실행, 메모리 변조, 부모-자식 프로세스 이상 징후, API 증거를 상관 분석해 프로세스 할로잉(T1055.012)을 추적하는 데 도움을 줍니다. 위협 헌터, 탐지 엔지니어, 대응 담당자가 Threat Hunting 워크플로에서 실무적으로 활용할 수 있는 detecting-process-hollowing-technique를 찾을 때 적합합니다.

detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.

detecting-port-scanning-with-fail2ban는 Fail2ban을 설정해 포트 스캔, SSH 무차별 대입 시도, 정찰 행위를 탐지하고, 의심스러운 IP를 차단한 뒤 보안 팀에 알리도록 돕습니다. 이 스킬은 Security Audit 워크플로우에서 하드닝과 detecting-port-scanning-with-fail2ban에 적합하며, 로그, jail, 필터, 안전한 튜닝에 대한 실무 중심 가이드를 제공합니다.

detecting-pass-the-ticket-attacks는 Windows 보안 이벤트 ID 4768, 4769, 4771을 상호 연관해 Kerberos Pass-the-Ticket 활동을 탐지하도록 돕습니다. Splunk 또는 Elastic에서 위협 헌팅에 사용해 티켓 재사용, RC4 다운그레이드, 비정상적인 TGS 증가를 실용적인 쿼리와 필드 안내로 찾아낼 수 있습니다.