Detection

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.

detecting-process-injection-techniques는 수상한 메모리 내 활동을 분석하고, EDR 경보를 검증하며, Security Audit와 멀웨어 분류 작업에 필요한 process hollowing, APC injection, thread hijacking, reflective loading, classic DLL injection을 식별하는 데 도움을 줍니다.

deploying-ransomware-canary-files 스킬은 보안 팀이 중요한 디렉터리에 미끼 파일을 배치하고, 읽기·수정·이름 변경·삭제 이벤트를 모니터링해 랜섬웨어의 초기 징후를 포착하도록 돕습니다. Security Audit 워크플로, 가벼운 탐지, 그리고 Slack, email, syslog를 통한 알림에 적합하며, EDR이나 백업을 대체하지는 않습니다.

deploying-active-directory-honeytokens는 보안 감사 업무를 위해 Active Directory 허니토큰을 계획하고 생성하는 데 도움을 줍니다. 여기에는 가짜 특권 계정, Kerberoasting 탐지를 위한 가짜 SPN, 미끼 GPO 트랩, 기만적인 BloodHound 경로가 포함됩니다. 설치 중심의 안내와 스크립트, 텔레메트리 단서를 함께 제공해 실제 배포와 검토에 바로 활용할 수 있습니다.