SOC Prime Threat Bounty Digest – Dezember 2024 Ergebnisse
Inhaltsverzeichnis:
Erstellung, Einreichung und Veröffentlichung von Inhalten zur Bedrohungserkennung
Dezember war ein weiterer beeindruckender Monat für das Threat Bounty-Programm, in dem die Community einen kooperativen Geist und Fähigkeiten in der Detektionstechnik zeigte.
Trotz des Endjahresstresses reichten die Programmmitglieder weiterhin aktiv Erkennungen ein, um aufkommende Bedrohungen zu adressieren. Insgesamt wurden 33 neue Erkennungsregeln erfolgreich auf der SOC Prime-Plattform nach Validierung durch das Expertenteam von SOC Prime veröffentlicht.
Laufende Änderungen und Programmergänzungen
Ab Januar 2025 haben wir vorübergehend die Annahme neuer Threat Bounty-Erkennungen ausgesetzt. Während die Aktivitäten des Threat Bounty-Programms pausieren, arbeiten wir an mehreren Verbesserungen der SOC Prime-Plattform, die darauf abzielen, die gesamte Benutzererfahrung zu verbessern und die Möglichkeiten für Threat Bounty-Programmitglieder zu erweitern, einschließlich der Einreichung von Inhalten in verschiedenen Formaten und zusätzlichen Möglichkeiten, Ihre Arbeit zu monetarisieren. Details hier ansehen.
In der Zwischenzeit können Mitglieder der SOC Prime-Community die SOC Prime-Plattform Mitgliedschaftspläne für Einzelbenutzer erkunden und einige der Premium-Funktionalitäten der Plattform in ihre Detektionstechnikprojekte integrieren.
TOP-Regeln im Dezember von Threat Bounty-Autoren
Im letzten Monat des Jahres erlangten die folgenden Erkennungsregeln die größte Popularität bei Unternehmen, die SOC Prime nutzen, um ihre Cyber-Sicherheitsoperationen zu verbessern:
Rundll32-Nutzung für LOLBin-Exploitation (via process_creation) by Bogac KAYA. Diese Regel erkennt die Ausführung von rundll32, das windows.storage.dll verwendet, um ShellExec_RunDLL aufzurufen.
Möglicher Versuch zur Privilegienerhöhung, um SYSTEM-Benutzer mit Powershell-Befehl als Modul zu erhalten (via ps_script) by Mustafa Gurkan KARAKAYA. Diese Regel erkennt mögliche bösartige Befehle, die verwendet werden können, um eine geplante Aufgabe zu erstellen, einen Befehl auf einem Remote-Server auszuführen, einen Job mit einem bestimmten gMSA-Konto zu starten und all diese Aktionen mit SYSTEM-Privilegien durchzuführen.
Verdächtige TA4557/FIN6-Ausführung durch Aufruf von More_Eggs-Malware über den WMI-Provider-Host-Dienst (via process_creation) by Nattatorn Chuensangarun – diese Regel erkennt verdächtige TA4557/FIN6-Aktivität, die bösartige DLL-Dateien freisetzt, um More_Eggs-Malware über den WMI-Provider-Hosting-Dienst bereitzustellen.
Mögliche Persistenzaktivität der APT35-Gruppe durch Erstellen eines verdächtigen Registry RunKey (via registry_event) by Emre Ay. Diese Regel erkennt die verdächtige Erstellung eines Registry RunKey, der mit der APT35-Gruppe in Verbindung steht, die versucht, Persistenz auf dem Opfersystem aufrechtzuerhalten und das bösartige Programm lautlos zu laden.
Mögliche Persistenzaktivität der BlackCat-Ransomware durch Erstellen einer verdächtigen geplanten Aufgabe (via process_creation) by Emre Ay. Diese Regel erkennt die Ausführung von schtasks mit verdächtigen taskrun-Parametern, um Persistenz auf dem Opfersystem aufrechtzuerhalten und die Malware auszuführen.
Threat Bounty-Autoren: Dezember TOP 5
Diese Autoren erhielten die höchste Bewertung für ihre Threat Bounty-Regeln:
Während sich das Threat Bounty-Programm weiterentwickelt, bleibt seine Kernmission dieselbe: Zusammenarbeit, Innovation und Einfluss in der Cybersicherheitsbranche zu ermöglichen und die globale Cyberabwehr zu stärken. Wir sind den Threat Bounty-Autoren dankbar, die Schulter an Schulter stehen, um diesen enormen Einfluss auf die Stärkung der weltweiten Verteidigung gegen Cyberangriffe zu haben.
Bleiben Sie dran für weitere Nachrichten und Updates!
