SOC Prime Threat Bounty Digest – August 2023 Ergebnisse
Inhaltsverzeichnis:
Threat Bounty monatliche Zusammenfassungen behandeln, was in der SOC Prime Threat Bounty Communitygeschieht. Jeden Monat veröffentlichen wir die Neuigkeiten und Updates des Programms und geben Empfehlungen zur Inhaltsverbesserung basierend auf unseren Beobachtungen und Analysen während der Verifizierung von Threat Bounty-Inhalten.
Threat Bounty Inhaltsübermittlungen
Im Monat August reichten die Mitglieder des Threat Bounty Programms 625 Regeln zur Überprüfung durch das SOC Prime Team ein. Obwohl Regeln automatisch durch den Regel Wardenvalidiert werden, stellt eine gründliche Prüfung und Validierung durch das Expertenteam sicher, dass nur die Detektionen von bester Qualität auf der SOC Prime Plattform verfügbar sind. Nach der Überprüfung und vorgeschlagenen Verbesserungen wurden 103 Sigma-Regeln von Threat Bounty-Mitgliedern auf dem Threat Detection Marketplace veröffentlicht und stehen Plattformnutzern gemäß ihren Abonnements zur Verfügung.
Wir sind sehr besorgt über die Situation, dass viele Threat Bounty-Entwickler, die seit Monaten oder sogar Jahren aktive Programmitglieder sind, weiterhin Inhalte einreichen, die nicht den Programmakzeptanzkriterien entsprechen. Für einige Mitglieder liegt der Prozentsatz der erfolgreich veröffentlichten Regeln bei weniger als 10 % der eingereichten. Deshalb bestehen wir darauf, dass Threat Bounty Sigma-Entwickler, die kontinuierlich den Großteil ihrer Inhalte abgelehnt bekommen, regelmäßig die in der Hilfe-Center verfügbaren Richtlinien für Threat Bounty überprüfen und die SOC Prime Webinare zur Inhaltserstellung anschauen. Das SOC Prime Team und die Fachgemeinschaft stehen Ihnen im SOC Prime’s Discord zur Verfügung, falls Sie Fragen haben.
TOP Threat Bounty Detektionsregeln
Wir freuen uns, Ihnen die Top-5 Detektionsregeln präsentieren zu können, die von Threat Bounty-Entwicklern geschrieben wurden. Diese Regeln haben sich als besonders geeignet erwiesen, um die Sicherheitsbedürfnisse von Unternehmen zu adressieren, die SOC Prime unter den Threat Bounty-Inhalten nutzen.
- Mögliche Befehlsausführung der Citrix ADC Zero-Day (CVE-2023-3519) Schwachstelle zur Extraktion von Informationen auf verdächtige Pfade (via process_creation) Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt mögliche verwendete Befehle beim Ausnutzen der CVE-2023-3519 Schwachstelle zum Kopieren kritischer Informationen in verdächtige Pfade.
- Mögliche Rhysida Ransomware (RaaS) Gruppe zielt auf lateinamerikanische Regierungsinstitutionen unter Verwendung assoziierter Befehlszeilenparameter (via process_creation) Sigma-Regel von Mehmet Kadir CIRIK erkennt verdächtige Befehlszeilenparameter, die von der Rhysida Ransomware verwendet werden.
- Mögliche Storm-0978 (RomCom) Ausführung durch Ausnutzen der Microsoft Office Zero-Day HTML [CVE-2023-36884] Schwachstelle über SMB-Ports (via network_connection) Sigma-Regel von Nattatorn Chuensangarun erkennt verdächtige Storm-0978 (RomCom) Aktivitäten durch Ausnutzung der Microsoft Office Zero-Day HTML-Schwachstelle (CVE-2023-36884) Angriff über SMB-Ports.
- Mögliche XWORM Remote Access Trojaner Auswirkungen und Ausführungsaktivitäten erkannt durch assoziierte Befehlszeile.[via Process_Creation] Sigma-Regel von Phyo Paing Htun kann die Auswirkungen und Ausführungsaktivitäten des XWORM Remote Access Trojan erkennen, die die Befehlszeile missbrauchen können, um eine wiederholte POST-Anfrage an den angegebenen Host und Post auszuführen sowie Shutdown-, Neustart- und Abmeldvorgänge durchzuführen.
- Verdächtige Citrix ADC Zero-Day [CVE-2023-3519] Web-Shell-Detektion mit zugehörigen Dateien (via file_event) Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt mögliche Web-Shell-Dateien, die nach CVE-2023-3519 Schwachstellenausnutzung in verdächtige Dateipfade geschrieben werden.
Top-Autoren
Wir möchten die Sigma-Entwickler anerkennen und feiern, die kontinuierlich außergewöhnliche Einsichten geliefert haben und zur Bedrohungserkennungsfähigkeit von Unternehmen beitragen, die auf SOC Prime in ihren täglichen Sicherheitsoperationen angewiesen sind. Im August erhielten die folgenden Programmitglieder den Status hoch bewerteter Threat Bounty-Autoren:
Möchten Sie einer Crowdsourcing-Initiative für Detektionstechnik beitreten und Ihre Fähigkeiten monetarisieren? Zögern Sie nicht, dem Threat Bounty Programvon SOC Prime beizutreten, wo Sie Ihre Bedrohungserkennungs- und Jagdfähigkeiten verbessern und Teil der professionellen Gemeinschaft werden können.
