Threat Hunting

detecting-lateral-movement-with-zeek는 위협 헌팅과 사고 대응을 위한 Zeek 기반 사이버보안 스킬입니다. conn.log, smb_mapping.log, smb_files.log, dce_rpc.log, ntlm.log, kerberos.log 같은 Zeek 로그를 활용해 SMB 관리자 공유 접근, DCE/RPC 서비스 생성, NTLM 스프레이, Kerberos 이상 징후, 의심스러운 내부 전송을 탐지하는 데 도움을 줍니다.

analyzing-cobaltstrike-malleable-c2-profiles는 Cobalt Strike Malleable C2 프로필을 C2 지표, 회피 특성, 탐지 아이디어로 파싱해 악성코드 분석, 위협 헌팅, Security Audit 워크플로에 활용할 수 있도록 돕습니다. dissect.cobaltstrike와 pyMalleableC2를 사용해 프로필과 beacon 설정을 분석합니다.

exploiting-kerberoasting-with-impacket는 권한이 있는 테스터가 Impacket의 GetUserSPNs.py를 사용해 Kerberoasting을 계획할 수 있도록 돕습니다. SPN 열거부터 TGS 티켓 추출, 오프라인 크래킹, 탐지 고려 보고까지 한 흐름으로 안내합니다. 이 exploiting-kerberoasting-with-impacket 가이드는 명확한 설치 및 사용 맥락이 필요한 침투 테스트 워크플로에 적합합니다.

detecting-shadow-it-cloud-usage는 프록시 로그, DNS 쿼리, netflow에서 승인되지 않은 SaaS 및 클라우드 사용을 식별하는 데 도움을 줍니다. 도메인을 분류하고 승인 목록과 비교하며, detecting-shadow-it-cloud-usage 스킬 가이드의 구조화된 증거를 바탕으로 보안 감사 워크플로를 지원합니다.

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

detecting-s3-data-exfiltration-attempts는 CloudTrail의 S3 데이터 이벤트, GuardDuty 탐지 결과, Amazon Macie 경보, S3 접근 패턴을 상호 연관해 AWS S3 데이터 탈취 가능성을 조사하는 데 도움을 줍니다. 보안 감사, 사고 대응, 의심스러운 대량 다운로드 분석에 이 detecting-s3-data-exfiltration-attempts 스킬을 사용하세요.

detecting-rdp-brute-force-attacks는 Windows Security Event Logs에서 RDP 무차별 대입 패턴을 분석하는 데 도움이 됩니다. 반복되는 4625 실패, 실패 후 4624 성공, NLA 관련 로그인, 소스 IP 집중 현상 등을 확인할 수 있습니다. 보안 감사, 위협 헌팅, 반복 가능한 EVTX 기반 조사에 적합합니다.

analyzing-usb-device-connection-history는 레지스트리 하이브, 이벤트 로그, `setupapi.dev.log`를 활용해 Windows의 USB 장치 연결 기록을 조사하는 데 도움이 됩니다. 디지털 포렌식, 내부자 위협 대응, 사고 대응에 적합하며, 타임라인 재구성, 장치 상관분석, 이동식 미디어 증거 분석을 지원합니다.

analyzing-browser-forensics-with-hindsight는 Hindsight를 사용해 Digital Forensics 팀이 Chromium 브라우저 아티팩트를 분석하도록 돕습니다. 기록, 다운로드, 쿠키, 자동 완성, 북마크, 저장된 자격 증명 메타데이터, 캐시, 확장 프로그램까지 함께 살펴볼 수 있습니다. 웹 활동을 복원하고, 타임라인을 검토하고, Chrome, Edge, Brave, Opera 프로필을 조사할 때 유용합니다.

analyzing-bootkit-and-rootkit-samples는 MBR, VBR, UEFI, rootkit 분석을 위한 악성코드 분석 스킬입니다. OS 아래 단계에서 침해가 계속되는 상황에서 부트 섹터, 펌웨어 모듈, anti-rootkit 지표를 점검할 때 유용합니다. 실무형 가이드, 명확한 워크플로, Malware Analysis를 위한 근거 기반 트리아지가 필요한 분석가에게 적합합니다.

detecting-network-anomalies-with-zeek skill은 Zeek를 활용해 수동 네트워크 모니터링을 배포하고, 구조화된 로그를 검토하며, 비콘 통신, DNS 터널링, 비정상적인 프로토콜 활동을 위한 맞춤 탐지를 구축하는 데 도움을 줍니다. 위협 헌팅, 사고 대응, SIEM 연동용 네트워크 메타데이터, Security Audit 워크플로에 적합하며, 인라인 차단용은 아닙니다.

detecting-modbus-protocol-anomalies는 OT 및 ICS 네트워크에서 Modbus/TCP와 Modbus RTU의 의심스러운 동작을 탐지하는 데 도움을 줍니다. 여기에는 잘못된 함수 코드, 범위를 벗어난 레지스터 접근, 비정상적인 폴링 주기, 무단 쓰기, 비정상 프레임이 포함됩니다. 보안 감사와 증거 기반 트리아지에 유용합니다.

detecting-typosquatting-packages-in-npm-pypi는 이름 유사도, 배포 시점, 다운로드 이상 징후를 비교해 수상한 npm 및 PyPI 패키지를 식별하는 데 도움이 됩니다. 보안 감사 워크플로, 의존성 검토, 공급망 위험의 1차 선별에 적합하며, 재현 가능한 레지스트리 점검 프로세스로 사용할 수 있습니다.

EDR, Sysmon, Windows 이벤트 상관분석으로 LSASS, SAM, NTDS.dit, LSA 비밀, 캐시된 자격 증명 덤핑을 탐지하는 detecting-t1003-credential-dumping-with-edr 스킬입니다. 경보 검증, 사고 범위 파악, 오탐 감소에 도움이 되는 실무형 워크플로 가이드를 제공합니다.

detecting-dcsync-attack-in-active-directory는 Active Directory에서 DCSync 악용을 찾아내기 위한 위협 헌팅 skill입니다. 4662 이벤트, 복제 GUID, 정상 DC 계정을 상관 분석해 의심 활동을 식별합니다. Splunk, KQL, 파싱 스크립트를 활용해 자격 증명 탈취 활동을 확인, 분류, 문서화하는 데 사용할 수 있습니다.

detecting-container-escape-with-falco-rules는 Falco 런타임 보안 규칙으로 컨테이너 이스케이프 시도를 탐지하는 데 도움을 줍니다. Kubernetes와 Linux 컨테이너 환경에서 syscall 신호, 권한 있는 컨테이너, 호스트 경로 남용, 검증, 인시던트 대응 워크플로에 초점을 맞춥니다.

권한이 있는 BLE 보안 테스트를 위한 detecting-bluetooth-low-energy-attacks 스킬입니다. 실제 BLE 도구와 작업 흐름 안내를 바탕으로 스니핑 노출, 재생 공격 위험, GATT 열거 악용, 광고 스푸핑, Man-in-the-Middle 징후를 평가하는 데 도움을 줍니다.

승인된 네트워크 구간에서 Snort 3 IDS를 설치, 구성, 검증, 튜닝하기 위한 configuring-snort-ids-for-intrusion-detection 스킬입니다. 실전 사용법, 룰 로딩, CLI 점검, 오탐 감소, Security Audit 워크플로까지 포함합니다.

analyzing-malware-sandbox-evasion-techniques는 악성코드 분석가가 Cuckoo와 AnyRun의 동작을 검토해 시간 지연 검사, VM 아티팩트 조회, 사용자 상호작용 게이트, sleep inflation 여부를 살피는 데 도움을 줍니다. 샘플이 샌드박스를 회피하는지 빠르게 판별해야 하는 Malware Analysis 워크플로에 맞춰, 집중적인 analyzing-malware-sandbox-evasion-techniques 분석에 적합하게 설계되었습니다.

analyzing-malware-persistence-with-autoruns는 악성코드 분석을 위한 Sysinternals Autoruns 스킬입니다. Run 키, 서비스, 예약 작업, Winlogon, 드라이버, WMI에서 Windows 지속성을 점검할 수 있도록 돕고, CSV 내보내기, 의심 항목 검토, 보고서에 바로 쓸 수 있는 결과 정리까지 포함한 반복 가능한 워크플로를 제공합니다.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

extracting-windows-event-logs-artifacts는 디지털 포렌식, 사고 대응, 위협 헌팅을 위해 Windows Event Logs(EVTX)를 추출, 파싱, 분석하는 데 도움을 줍니다. Chainsaw, Hayabusa, EvtxECmd를 사용해 로그온, 프로세스 생성, 서비스 설치, 예약 작업, 권한 변경, 로그 삭제를 체계적으로 검토할 수 있습니다.

Rekall로 Windows 메모리 이미지를 분석하는 extracting-memory-artifacts-with-rekall 가이드입니다. 설치와 사용 패턴을 익혀 숨겨진 프로세스, 인젝션된 코드, 의심스러운 VAD, 로드된 DLL, 네트워크 활동을 찾아 디지털 포렌식에 활용할 수 있습니다.

악성코드 분석을 위한 extracting-iocs-from-malware-samples 기술 가이드입니다. 샘플에서 해시, IP, 도메인, URL, 호스트 아티팩트, 검증 단서를 추출해 위협 인텔과 탐지에 활용할 수 있습니다.