SOC Prime Threat Bounty Digest — Ergebnisse August 2024
Inhaltsverzeichnis:
Erstellung, Einreichung & Veröffentlichung von Erkennungsinhalten
August 2024 war eine Herausforderung für die globale Cyber-Community, aber er war auch voller Möglichkeiten für Mitglieder von SOC Prime’s Threat Bounty , persönliche Anerkennung und Geld für ihre Beiträge zu erhalten. Im August wurden 22 Erkennungen erfolgreich auf der SOC Prime Plattformveröffentlicht, und doppelt so viele Erkennungen wurden mit Empfehlungen zur Verbesserung bestimmter Aspekte der Erkennungslogik.
an die Autoren zurückgesendet. SOC Prime incentiviert die talentiertesten und motiviertesten Autoren und veröffentlicht nur Erkennungen, die den Programmakzeptanzkriterien entsprechen und die herausragenden Fähigkeiten des Autors im Bereich der Erkennungstechnik demonstrieren. Mit Uncoder AI können engagierte Cyber-Sicherheitspraktiker viel praktische Erfahrung sammeln und ihre beruflichen Fähigkeiten sowie ihre Leistung verbessern, indem sie neue Technologien in ihre täglichen Routinen.
Top Threat Bounty Erkennungsregeln
Diese fünf über das Threat Bounty Programm beigetragenen Regeln stießen bei Unternehmen, die sich auf SOC Prime zur Verbesserung ihrer Cyber-Sicherheitsoperationen verlassen, auf das meiste Interesse:
Verdächtige Powershell-Ausführung für Async RAT durch Erkennung assoziierter Befehle (via Powershell) – Threat Hunting Sigma-Regel von Osman Demir.
Möglicher Ivanti Authentifizierungs-Bypass (CVE-2024-7593) Exploit-Versuch (via Webserver) – Threat Hunting Regel von Wirapong Petshagun. Diese Regel erkennt URL-Muster, die ausgenutzt werden, um die Authentifizierungs-Bypass-Schwachstelle in Ivanti (CVE-2024-7593) auszunutzen. Ein erfolgreicher Exploit könnte zu einem Authentifizierungs-Bypass und der Erstellung eines Administrator-Benutzers führen.
Mögliche Erkennung des Specula-Tools, das Microsoft Outlook für die Post-Exploitation Remote-Code-Ausführung über Registrierungsänderungen ausnutzt (via registry_event) – Threat Hunting Sigma-Regel von Davut Selcuk erkennt potenzielle Post-Exploitation-Aktivitäten mit dem Specula-Tool, das Microsoft Outlook für Remote-Code-Ausführung durch Modifizierung von Registrierungseinstellungen ausnutzt. Specula kann Outlook in einen Command-and-Control (C2) Beacon verwandeln, was es Angreifern ermöglicht, bösartigen Code remote auszuführen.
Mögliche China-Nexus-Bedrohungsgruppe (Velvet Ant) Ausführung durch Missbrauch von F5 Load Balancern zur Bereitstellung von PlugX-Malware (via file_event) – Threat Hunting Regel von Nattatorn Chuensangarun. Mit dieser Regel können Benutzer der SOC Prime Plattform verdächtige Aktivitäten in Verbindung mit der China-Nexus-Bedrohungsgruppe ‚Velvet Ant‘ erkennen.
Mögliche UNC4393-Persistenz durch Änderung der Registrierung zur Ausführung von BASTA-Ransomware über Skype-Service (via Registrierungstätigkeit) – Threat Hunting Regel von Nattatorn Chuensangarun. Diese Regel erkennt verdächtige UNC4393-Aktivitäten, wenn der Bedrohungsakteur den Registrierungsschlüssel verändert, um eine bösartige Binärdatei auszuführen und BASTA-Ransomware über Skype bereitzustellen.
Top-Autoren
Erkennungen der folgenden fünf Autoren erhielten die meiste Aufmerksamkeit von den Cybersicherheitsspezialisten, die sich auf die SOC Prime Plattform zur Verbesserung der Cybersicherheit ihrer Organisationen verlassen:
Wir freuen uns, bekannt zu geben, dass im August Aung Kyaw Min Naing das Meilenstein von 10 erfolgreichen Beiträgen im Jahr 2024 erreichte und ein digitales Abzeichen als Vertrauenswürdiger Beitragender zur SOC Prime Plattform erhielt.
Im September erwarten wir die Ausgabe mehrerer Abzeichen an aktive Mitglieder des Threat Bounty Programms, um ihre Fähigkeiten bei der Nutzung mehrerer Funktionen von Uncoder AI für die Erkennungstechnik anzuerkennen und zu würdigen. Wir freuen uns, dass Mitglieder des Threat Bounty Programms Uncoder AI als nützlich empfinden, um Ergebnisse innerhalb des Programms zu erzielen und das Tool auch als Coach nutzen, um ihre Expertise auf dem Gebiet zu erweitern.
Suchen Sie nach einer Möglichkeit, Ihre Fähigkeiten in der Erkennungstechnik mit KI-unterstützter Technologie aufzufrischen und Teil der kollektiven Cyberabwehr zu werden? Starten Sie mit dem Threat Bounty Programm heute.
