SOC Prime Threat Bounty Digest – Ergebnisse April 2024

[post-views]
Mai 13, 2024 · 3 min zu lesen
SOC Prime Threat Bounty Digest – Ergebnisse April 2024

Bedrohungs-Bounty-Veröffentlichungen

Engagierte Mitglieder des Threat Bounty Programms reichten mehr als 250 Erkennungen zur Prüfung ein, um die Chance zu haben, ihre Erkennungen auf der SOC Prime Plattform und belohnungsbasierten Bewertungen zu veröffentlichen. Alle Regeln wurden sorgfältig von unserem Team erfahrener Erkennungstechniker überprüft, und als Ergebnis wurden 59 der eingereichten Regeln auf dem Threat Detection Marketplace veröffentlicht.

Erkundung der Erkennungen

Bei Veröffentlichung von Threat Bounty Inhalten werden alle eingereichten Erkennungen von einem erfahrenen Team überprüft, um festzustellen, ob die Inhaltsannahmekriterien erfüllt sind. Wir ermutigen die Programmmitglieder, sich an die Threat Bounty Inhaltsannahme-Bedingungen zu halten, um sicherzustellen, dass entwickelte Regeln eine hohe Veröffentlichungschance haben und dass die Autoren ihre Bemühungen inhaltlich sinnvoll und effizient gestalten.

TOP Threat Bounty Erkennungsregeln

Bitte sehen Sie sich die Erkennungsregeln an, die bei den Unternehmen, die die SOC Prime Plattform für ihre Sicherheitsoperationen nutzen, am beliebtesten waren:

  1. Verdächtige SSLoad Malware Persistenzaktivität zur böswilligen Nutzung mit Cobalt Strike durch Erkennung zugehöriger Befehle (via process_creation) Threat-Hunting Sigma-Regel von Davut Selcuk erkennt verdächtige SSLoad Malware-Persistenzaktivitäten, die potenziell mit der Verteilung von Cobalt Strike in Verbindung stehen. Die Erkennung basiert auf der Beobachtung spezifischer Befehle, die über Prozessanstrittsereignisse auf Windows-Systemen ausgeführt werden.
  2. Verdächtige böswillige C2-Aktivität von ‚MuddyWater gegen ein Ziel im Nahen Osten‘ durch Erkennung von PowerShell-Befehlszeilen Threat-Hunting Sigma-Regel von Aung Kyaw Min Naing erkennt die böswillige PowerShell-Ausführung durch MuddyWater gegen ein Ziel im Nahen Osten, um den AutodialDLL-Registrierungsschlüssel zu missbrauchen und DLL für das C2-Framework zu laden.
  3. Hochwahrscheinliche Ausbeutung von Befehlsinjektionsangriffen durch Nutzung der Rust-Schwachstelle (CVE-2024-24576) Threat-Hunting-Regel von Emir Erdogan erkennt Windows-Befehlsinjektionsangriffe über die Programmiersprache Rust mit Hilfe von process_creation-Protokollen.
  4. Verdächtige XWorm-Persistenzaktivitäten durch Erkennung zugehöriger Befehle (via process_creation) Threat-Hunting Sigma-Regel von Davut Selcuk zielt darauf ab, verdächtige Persistenzaktivitäten in Verbindung mit der XWorm-Malware zu erkennen. Die Regel identifiziert potenzielle Fälle, in denen XWorm Persistenz auf dem System mit dem Tool schtasks.exe etabliert.
  5. Mögliche Forest Blizzard Persistenz durch Hinzufügen eines Registries zum Bereitstellen einer DLL-Datei über Windows-Dienste (via registry_event) Threat-Hunting Sigma-Regel von Nattatorn Chuensangarun erkennt verdächtige Forest Blizzard Aktivitäten durch Hinzufügen eines Registrierungsschlüssels, um eine bösartige DLL-Datei über Windows-Dienste auszuführen.

Top-Autoren

Erkennungsregeln der folgenden Mitglieder des Threat Bounty Programms wurden von aktiven Nutzern, die auf die SOC Prime Plattform vertrauen, um ihre Sicherheitsoperationen zu verbessern, am meisten herangezogen:

Davut Selcuk

Bogac Kaya

Emre Ay

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Wir freuen uns, bekannt zu geben, dass die folgenden Autoren Anerkennungsabzeichen für ihre aktiven Beiträge zur SOC Prime Plattform in diesem Jahr erhalten haben:

Sittikorn Sangrattanapitak and Mehmet Kadir CIRIK – für das Erreichen des Meilensteins von 10 erfolgreichen Veröffentlichungen in diesem Jahr

Davut Selcuk – für das Erreichen von 50 erfolgreichen Veröffentlichungen von Erkennungsregeln auf der SOC Prime Plattform im Jahr 2024.

Bevorstehende Änderungen

Wir freuen uns darauf, ein neues Verfahren für Mitglieder des Threat Bounty Programms einzuführen, um ihre Threat Bounty Regeln über Uncoder AIzu erstellen und zu verwalten. Die kommende Veröffentlichung wird das Entwicklerportal und den Sigma Rules Bot für Threat Bounty vollständig ersetzen und Uncoder AI dient als ein einziges IDE- und Inhalts-Einreichungsverwaltungstool für Mitglieder des Threat Bounty Programms.

Wir werden die Threat Bounty Mitglieder zusätzlich über die Einzelheiten der bevorstehenden Änderungen auf Discord, über das Entwicklerportal vor dessen EOL und per E-Mail informieren. Bleiben Sie dran für Ankündigungen und Newsletter über die Threat Bounty Programms

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko