SOC Prime Threat Bounty Digest – Ergebnisse Dezember 2023
Inhaltsverzeichnis:
Übereinstimmung von Inhalten durch Threat Bounty
Seit dem Start des Threat Bounty Programms bietet SOC Prime erfahrenen und motivierten Detection Engineers die Möglichkeit, ihre Fähigkeiten an die tatsächlichen und aktuellen Anforderungen im Bereich der Bedrohungserkennung anzupassen. Im Jahr 2023 setzten wir die Bemühungen der Threat Bounty Mitglieder in Einklang mit der Weiterentwicklung der Plattform fort, was zu einigen Änderungen in den Kriterien für die Annahme von Inhalten führte. Insbesondere halten wir uns strikt an die Verfahren zur Verifizierung von Inhalten und die Richtlinien zur Veröffentlichung für Regeln, die auf Low-Level-IOCs basieren, Regeln, die darauf ausgelegt sind, Alarme aus anderen Sicherheitslösungen auszulösen, und Regeln mit begrenzter Anwendbarkeit oder Anpassungsfähigkeit — die als ‚geringe Widerstandsfähigkeit für den langfristigen Einsatz auf der SOC Prime Plattform‘ bezeichnet wird. Bei SOC Prime sind wir davon überzeugt, dass diese kollektiven Anstrengungen und der Austausch von Feedback die Entwicklung von beruflichen Fähigkeiten fördern, die heutzutage in der Cybersicherheitsbranche von entscheidender Bedeutung sind.
Wir hoffen, dass alle Mitglieder des Threat Bounty Programms die Regeln für die Annahme von Inhalten berücksichtigen und auf allgemeine Empfehlungen achten, die sie im Hinblick auf Verbesserungen der Inhalte oder als Grund für die Ablehnung einer Veröffentlichung erhalten.
TOP Threat Bounty Erkennungsregeln des Monats
Die folgenden Erkennungen von Threat Bounty Entwicklern auf der SOC Prime Plattform waren die beliebtesten:
Mögliche Persistenz-Erkennung durch die nordkoreanische APT38/Lazarus-Gruppe über die Erkennung zugehöriger Befehlszeilenparameter (via process_creation) – Bedrohungsjagdregel von Davut Selcuk die potenzielle Anzeichen von Persistenz durch die nordkoreanische APT38/Lazarus-Gruppe identifiziert, indem die Erkennung zugehöriger Befehlszeilenparameter genutzt wird.
Mögliche Ausführung bösartigen VBA-Codes in Excel- oder Word-Dokumenten durch Erkennung zugehöriger Befehle (via ps_script) – Bedrohungsjagdregel von Emre Ay der Bedrohungsakteure erkennt, die versuchen, bösartigen VBA-Code in Excel- oder Word-Dokumenten auszuführen, indem sie verdächtige PowerShell-Befehle verwenden.
Verdächtige Registrierungsschlüsseländerung von DarkGate Malware-Aktivität (via registry_event) – Bedrohungsjagdregel von Davut Selcuk die Änderungen an Registrierungsschlüsseln erkennt, die mit DarkGate in Verbindung stehen.
Mögliche Ausführung von Agent Racoon Malware durch die Verwendung von PowerShell-Plug-Ins zur Extraktion von E-Mails in MS Exchange-Umgebungen mit PowerShell-Skriptblock – Bedrohungsjagdregel von Nattatorn Chuensangarun erkennt verdächtige Aktivitäten der Agent Racoon Malware, indem das PowerShell-Plugin verwendet wird, um böswillige PST-Dateien im IIS-Systemverzeichnis (inetsrv) für E-Mail-Dumps in MS Exchange-Umgebungen auszuführen.
Mögliche Ransomware-Bedrohungsaktivität ESXi Alle VMs und Löschen ihrer Snapshots über VIM-CMD – Bedrohungsjagdregel von Kaan Yeniyol erkennt das Löschen von Snapshots und virtuellen Maschinen auf ESXi-Geräten mit dem VMSVC-Befehl. Ransomware-Gruppen löschen bei einer Kompromittierung von ESXi-Systemen Snapshots von Geräten und verschlüsseln Dateien.
Top-Autoren des Monats
Obwohl einige Mitglieder von Threat Bounty ihre Aktivitäten mit dem Programm einstellen und nicht länger die Privilegien als aktive Threat Boutny Autoren haben, ermöglichen ihre Erkennungen Unternehmen, die SOC Prime nutzen, dennoch, Cyberbedrohungen standzuhalten:
Die folgenden Autoren haben durch ihre Erkennungsinhalte, die die Qualitätsprüfung des SOC Prime Teams bestanden haben, herausragende Beiträge geleistet:
Bleiben Sie auf dem Laufenden über Neuigkeiten, Updates und Community-Diskussionen, um zu den Ersten zu gehören, die von den kommenden Änderungen erfahren im Threat Bounty Programm, und zögern Sie nicht, Unternehmen weltweit zu ermöglichen, sich mit Ihren Threat Bounty Erkennungen, die von SOC Primes Innovationen angetrieben werden, gegen aufkommende Bedrohungen zu verteidigen..
