주간 탐지 룰(YARA, Snort) 정보 – 2024년 12월 2주차
AhnLab TIP 서비스에서 수집한, 공개된 YARA, Snort룰(2024년 12월 2주) 정보입니다.
- 8 YARA Rules
|
탐지명 |
설명 |
출처 |
|---|---|---|
| VeeamHax | VeeamHax.exe 파일 탐지 | https://github.com/The-DFIR-Report/Yara-Rules |
| PK_Elster_darknet | Elster tax office (DE)(독일 전자 세금 신고 시스템)를 사칭하는 Phishing Kit 탐지 | https://github.com/t4d/PhishingKit-Yara-Rules |
| PK_Nickel_memoryerror | Nickel(프랑스 은행)을 사칭하는 Phishing Kit 탐지 | https://github.com/t4d/PhishingKit-Yara-Rules |
| PK_Telegram_gambar | Telegram (Malaysian users)을 사칭하는 Phishing Kit 탐지 | https://github.com/t4d/PhishingKit-Yara-Rules |
| PK_Ledger_shadowroot | Ledger(프랑스 디지털 자산 서비스)를 사칭하는 Phishing Kit 탐지 | https://github.com/t4d/PhishingKit-Yara-Rules |
| PK_PayPal_system | Paypal을 사칭하는 Phishing Kit 탐지 | https://github.com/t4d/PhishingKit-Yara-Rules |
| Brooxml_Hunting | 데이터가 추가되거나 헤더가 조작된 Microsoft OOXML 파일 탐지 | https://github.com/Neo23x0/signature-base |
| Brooxml_Phishing | AiTM 피싱으로 이어지는 PDF, OOXML 파일 탐지 | https://github.com/Neo23x0/signature-base |
- 8 Snort Rules
|
탐지명 |
설명 |
출처 |
|---|---|---|
| ET ATTACK_RESPONSE Base64 Encoded Powershell Performing Byte Operations Inbound | Base64로 인코딩된 바이트 연산을 수행하는 Powershell 명령 유입 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET WEB_SPECIFIC_APPS Mitel MiCollab Pre-Authentication SQLi (CVE-2024-35286) | Mitel Micollab 사전인증 SQL 인젝션(CVE-2024-35286) 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET WEB_SPECIFIC_APPS Mitel MiCollab Unauthenticated Path Traversal (CVE-2024-41713) | Mitel Micollab 비인가 Path Traversal (CVE-2024-41713) 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET WEB_SPECIFIC_APPS Zabbix Server SQLi API user.get Method (CVE-2024-42327) | Zabbix Server user.get 메소 를 통한 SQL Injection(CVE-2024-42327) 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET CURRENT_EVENTS Bitcoin Scam Victim Details Exfiltration (POST) | Bitcoin 사기 피해자 정보 유출 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET CURRENT_EVENTS Bitcoin Scam Webpage Observed | Bitcoin 사기 페이지 접근 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET ATTACK_RESPONSE RuPSRAT Command Inbound (Download/Execute GoBayden) | RuPSRAT 커맨드 유입(GoBayden 다운로드/실행) 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
| ET WEB_SPECIFIC_APPS Riello Netman 204 UPS SQL Injection Attempt (CVE-2024-8877) | Riello Netman 204 UPS SQL 인젝션 시도(CVE-2024-8877) 패킷 탐지 | https://rules.emergingthreatspro.com/open/ |
