Ransomware

analyzing-ransomware-network-indicators는 Zeek conn.log와 NetFlow를 분석해 C2 비콘 통신, TOR 종료 노드, 데이터 유출, 수상한 DNS를 찾아 Security Audit와 사고 대응을 지원합니다.

analyzing-ransomware-payment-wallets는 랜섬웨어 결제 지갑을 추적하고, 자금 이동을 따라가며, 관련 주소를 클러스터링해 보안 감사와 사고 대응을 지원하는 읽기 전용 블록체인 포렌식 스킬입니다. BTC 주소, tx hash, 또는 의심 지갑이 있고, 근거 기반의 귀속 판단을 뒷받침할 증거가 필요할 때 사용하세요.

악성코드 분석용 analyzing-ransomware-encryption-mechanisms 스킬로, 랜섬웨어의 암호화 방식, 키 처리, 복호화 가능성을 파악하는 데 초점을 둡니다. AES, RSA, ChaCha20, 하이브리드 방식은 물론, 복구 가능성에 영향을 줄 수 있는 구현상 결함까지 점검하는 데 활용할 수 있습니다.

analyzing-ransomware-leak-site-intelligence는 랜섬웨어 데이터 유출 사이트를 모니터링하고, 피해자 및 공격 그룹 신호를 추출하며, 사고 대응, 업종별 위험 검토, 공격자 추적에 활용할 수 있는 구조화된 위협 인텔리전스를 생성하는 데 도움을 줍니다.

detecting-ransomware-encryption-behavior는 엔트로피 분석, 파일 I/O 모니터링, 행위 기반 휴리스틱을 활용해 랜섬웨어형 암호화를 포착하도록 돕습니다. 대량 파일 변경, 연속적인 이름 바꾸기, 수상한 프로세스 활동을 빠르게 감지해야 하는 사고 대응, SOC 튜닝, 레드팀 검증에 적합합니다.

deploying-ransomware-canary-files 스킬은 보안 팀이 중요한 디렉터리에 미끼 파일을 배치하고, 읽기·수정·이름 변경·삭제 이벤트를 모니터링해 랜섬웨어의 초기 징후를 포착하도록 돕습니다. Security Audit 워크플로, 가벼운 탐지, 그리고 Slack, email, syslog를 통한 알림에 적합하며, EDR이나 백업을 대체하지는 않습니다.

SOC 팀을 위한 building-soc-playbook-for-ransomware 스킬로, 구조화된 랜섬웨어 대응 플레이북이 필요할 때 적합합니다. 탐지 트리거, 차단, 제거, 복구, 그리고 NIST SP 800-61 및 MITRE ATT&CK에 맞춘 감사 대응 절차까지 다룹니다. 실무적인 플레이북 작성, 테이블탑 훈련, Security Audit 지원에 활용할 수 있습니다.