Mitre Attack

detecting-service-account-abuse는 Windows, AD, SIEM, EDR 텔레메트리 전반에서 서비스 계정 오남용을 찾기 위한 위협 헌팅 skill입니다. 의심스러운 대화형 로그온, 권한 상승, 측면 이동, 접근 이상 징후에 초점을 맞추며, 반복 가능한 조사를 돕는 헌트 템플릿, 이벤트 ID, 워크플로 참조를 제공합니다.

analyzing-campaign-attribution-evidence는 분석가가 인프라 중복, ATT&CK 일관성, 멀웨어 유사성, 시점, 언어적 흔적을 함께 검토해 방어 가능한 캠페인 귀속 판단을 내리도록 돕습니다. CTI, 인시던트 분석, Security Audit 검토에 이 analyzing-campaign-attribution-evidence 가이드를 활용하세요.

hunting-advanced-persistent-threats는 엔드포인트, 네트워크, 메모리 텔레메트리 전반에서 APT 유형의 활동을 탐지하기 위한 위협 헌팅 기술입니다. 분석가가 가설 기반 헌트를 설계하고, 결과를 MITRE ATT&CK에 매핑하며, 위협 인텔을 즉흥적인 검색이 아닌 실무형 쿼리와 조사 단계로 전환하도록 돕습니다.

executing-red-team-exercise는 현실적인 레드팀 훈련을 기획하고 추적하는 데 쓰는 사이버보안 스킬입니다. 정찰, 기법 선정, 실행, 탐지 공백 검토까지 공격자 모사를 지원해 보안 감사 작업과 ATT&CK 정렬 평가에 유용합니다.

detecting-wmi-persistence 스킬은 위협 헌터와 DFIR 분석가가 Sysmon Event ID 19, 20, 21을 활용해 Windows 텔레메트리에서 WMI 이벤트 구독 지속성을 탐지하도록 돕습니다. 악성 EventFilter, EventConsumer, FilterToConsumerBinding 활동을 식별하고, 결과를 검증하며, 공격자의 지속성 기법과 정상 관리 자동화를 구분하는 데 사용할 수 있습니다.

detecting-process-hollowing-technique는 Windows 텔레메트리에서 일시 중단된 실행, 메모리 변조, 부모-자식 프로세스 이상 징후, API 증거를 상관 분석해 프로세스 할로잉(T1055.012)을 추적하는 데 도움을 줍니다. 위협 헌터, 탐지 엔지니어, 대응 담당자가 Threat Hunting 워크플로에서 실무적으로 활용할 수 있는 detecting-process-hollowing-technique를 찾을 때 적합합니다.

detecting-privilege-escalation-attempts는 Windows와 Linux에서 권한 상승을 추적하는 데 도움이 되며, 토큰 조작, UAC 우회, 따옴표가 없는 서비스 경로, 커널 익스플로잇, sudo/doas 오용까지 포함합니다. 실무적인 워크플로, 참고용 쿼리, 보조 스크립트가 필요한 위협 헌팅 팀을 위해 설계되었습니다.

detecting-mimikatz-execution-patterns는 명령줄 패턴, LSASS 접근 신호, 바이너리 지표, 메모리 아티팩트를 활용해 Mimikatz 실행을 탐지하도록 돕습니다. Security Audit, 헌팅, 인시던트 대응에 이 detecting-mimikatz-execution-patterns 스킬을 설치해 템플릿, 참고 자료, 워크플로 가이드를 활용하세요.

Security Audit, 위협 헌팅, 사고 대응을 위한 detecting-living-off-the-land-attacks 스킬입니다. `certutil`, `mshta`, `rundll32`, `regsvr32` 같은 합법적 Windows 바이너리의 악용을 프로세스 생성, 명령줄, 부모-자식 관계 텔레메트리로 탐지합니다. 이 가이드는 Windows 전반의 하드닝이 아니라, 바로 적용 가능한 LOLBin 탐지 패턴에 초점을 맞춥니다.

detecting-kerberoasting-attacks skill은 의심스러운 Kerberos TGS 요청, 약한 티켓 암호화, 서비스 계정 패턴을 찾아 Kerberoasting을 헌팅하는 데 도움을 줍니다. SIEM, EDR, EVTX, Threat Modeling 워크플로에서 실용적인 탐지 템플릿과 튜닝 가이드를 활용할 때 적합합니다.

detecting-insider-threat-behaviors는 비정상적인 데이터 접근, 근무 시간 외 활동, 대량 다운로드, 권한 남용, 퇴사 연계 유출 같은 내부자 위험 신호를 찾는 분석가를 돕습니다. 이 detecting-insider-threat-behaviors 가이드는 워크플로 템플릿, SIEM 쿼리 예시, 위험 가중치를 통해 위협 헌팅, UEBA 스타일 트리아지, 위협 모델링에 활용할 수 있습니다.

detecting-dll-sideloading-attacks는 Security Audit, 위협 헌팅, 인시던트 대응 팀이 Sysmon, EDR, MDE, Splunk로 DLL 사이드로딩을 탐지하도록 돕습니다. 이 detecting-dll-sideloading-attacks 가이드에는 워크플로 노트, 헌팅 템플릿, 표준 매핑, 그리고 의심스러운 DLL 로드를 반복 가능한 탐지로 바꾸는 스크립트가 포함되어 있습니다.

detecting-command-and-control-over-dns는 DNS를 통한 C2를 포착하기 위한 사이버 보안 skill로, 터널링, 비콘 통신, DGA 도메인, TXT/CNAME 악용을 포함합니다. 엔트로피 점검, 패시브 DNS 상관분석, Zeek 또는 Suricata 스타일의 탐지 워크플로를 통해 SOC 분석가, 위협 헌터, 보안 감사 업무를 지원합니다.

correlating-threat-campaigns는 위협 인텔리전스 분석가가 사고, IOC, TTP를 캠페인 수준의 증거로 엮어내도록 돕습니다. 과거 사건을 비교하고, 강한 연관성과 약한 매칭을 구분하며, MISP, SIEM, CTI 보고를 위한 방어 가능한 클러스터링을 만드는 데 활용하세요.

conducting-post-incident-lessons-learned 스킬은 Incident Response 팀이 구조화된 사후 검토를 진행하고, 사실 기반 타임라인을 만들고, 근본 원인을 식별하고, 무엇이 효과적이었고 무엇이 실패했는지 기록하며, 각 사고를 담당자, 마감일, 플레이북 업데이트가 포함된 측정 가능한 개선으로 연결하도록 돕습니다.

conducting-pass-the-ticket-attack은 Pass-the-Ticket 워크플로를 계획하고 문서화하기 위한 보안 감사 및 레드팀 스킬입니다. Kerberos 티켓을 검토하고, 탐지 신호를 매핑하며, conducting-pass-the-ticket-attack 스킬을 사용해 구조화된 검증 또는 보고 흐름을 만드는 데 도움이 됩니다.

conducting-cloud-penetration-testing는 AWS, Azure, GCP 전반에서 승인된 클라우드 보안 점검을 계획하고 수행하는 데 도움을 줍니다. IAM 오구성, 메타데이터 노출, 공개 리소스, 권한 상승 경로를 찾아낸 뒤, 결과를 보안 감사 보고서로 정리할 수 있습니다. Security Audit 워크플로에서 conducting-cloud-penetration-testing 스킬을 사용할 때 잘 맞습니다.

collecting-threat-intelligence-with-misp 스킬은 MISP에서 위협 인텔리전스를 수집, 정규화, 검색, 내보내기 하는 데 도움을 줍니다. 이 collecting-threat-intelligence-with-misp 가이드는 피드, PyMISP 워크플로, 이벤트 필터링, warninglist 축소, 그리고 Threat Modeling과 CTI 운영에 유용한 실무형 collecting-threat-intelligence-with-misp 활용법을 다룹니다.

MISP, OpenCTI, TheHive, Cortex, STIX/TAXII, Elasticsearch를 활용해 위협 인텔리전스 플랫폼을 설계, 배포, 검토하는 데 쓰는 building-threat-intelligence-platform 스킬입니다. 설치 안내, 사용 워크플로, 그리고 저장소 참조와 스크립트로 뒷받침되는 Security Audit 계획 수립에 활용할 수 있습니다.

building-threat-hunt-hypothesis-framework는 위협 인텔리전스, ATT&CK 매핑, 텔레메트리를 바탕으로 검증 가능한 위협 헌트 가설을 세우는 데 도움을 줍니다. 이 building-threat-hunt-hypothesis-framework 스킬을 사용해 헌트 계획을 세우고, 데이터 소스를 매핑하고, 쿼리를 실행하고, 결과를 문서화하여 Threat Modeling을 위한 threat hunting과 building-threat-hunt-hypothesis-framework 작업에 활용하세요.

building-threat-actor-profile-from-osint는 위협 인텔리전스 팀이 OSINT를 구조화된 위협 행위자 프로필로 전환하도록 돕습니다. 명명된 그룹이나 캠페인에 대한 프로파일링을 지원하며, ATT&CK 매핑, 인프라 상관 분석, 출처 추적 가능성, 그리고 방어 가능한 분석을 위한 신뢰도 노트를 포함합니다.

SOC 팀을 위한 building-soc-playbook-for-ransomware 스킬로, 구조화된 랜섬웨어 대응 플레이북이 필요할 때 적합합니다. 탐지 트리거, 차단, 제거, 복구, 그리고 NIST SP 800-61 및 MITRE ATT&CK에 맞춘 감사 대응 절차까지 다룹니다. 실무적인 플레이북 작성, 테이블탑 훈련, Security Audit 지원에 활용할 수 있습니다.

building-detection-rules-with-sigma는 위협 인텔이나 벤더 규칙을 바탕으로 이식 가능한 Sigma 탐지 규칙을 만들고, 이를 MITRE ATT&CK에 매핑한 뒤 Splunk, Elastic, Microsoft Sentinel 같은 SIEM용으로 변환하는 데 도움을 줍니다. 보안 감사 워크플로, 표준화, detection-as-code에 이 building-detection-rules-with-sigma 가이드를 활용하세요.

building-detection-rule-with-splunk-spl은 SOC 분석가와 탐지 엔지니어가 위협 탐지, 튜닝, Security Audit 검토를 위한 Splunk SPL 상관 검색을 구축하도록 돕습니다. 탐지 요약을 MITRE 매핑, 보강, 검증 지침이 포함된 배포 가능한 규칙으로 바꾸는 데 활용할 수 있습니다.