SOC Prime Threat Bounty Digest — Ergebnisse Februar 2024
Inhaltsverzeichnis:
Threat Bounty Veröffentlichungen
Im Februar haben die Mitglieder des Threat Bounty-Programms mehr als 350 Erkennungen zur Überprüfung durch das SOC Prime-Team eingereicht. Nach der Überprüfung durch das Verifizierungs-Team wurden 70 Regeln erfolgreich auf der SOC Prime-Plattformveröffentlicht. Während der Verifizierung stellte das SOC Prime-Team mehr als 400 Erklärungen und Empfehlungen für Regelverbesserungen bereit. Es ist wichtig, dass die Autoren verstehen, dass alle Regeln einzeln überprüft werden, beginnend mit denjenigen, die zuerst zur Überprüfung eingereicht wurden, und dass jede Änderung an der Regel, einschließlich Korrekturen, automatisch eine neue Verifizierungsrunde startet.
Wir haben uns gefreut, mit dem Threat Bounty-Mitglied Phyo Paing Htun zu sprechen, was zu einem aufschlussreichen Interview im SOC Prime-Blogführte und einem kurzen Video , in dem Phyo Paing Htun seine Erfahrungen und Ansätze zur Erstellung von Regeln für die Threat Bounty-Veröffentlichung teilt.
Threat Bounty Nachrichten
Wir freuen uns, die bevorstehende Einführung digitaler Zertifikate durch das SOC Prime Threat Bounty-Programm mit Credly von Pearson anzukündigen. Die digitalen Zertifikate stellen einen bedeutenden Schritt nach vorn dar, um die Hingabe und Expertise der Mitglieder der Threat Bounty-Community anzuerkennen und ihnen ein greifbares Symbol ihrer Errungenschaften seit dem Start der Threat Bounty-Initiative sowie die Anerkennung ihrer aktuellen Leistungen zu bieten. Bleiben Sie dran, während wir diese Reise beginnen, um die Autoren von Erkennungsregeln im Threat Bounty-Programm zu feiern und zu stärken.
TOP Threat Bounty-Erkennungsregeln
Die folgenden fünf Erkennungsregeln waren die am meisten gefragten unter den Organisationen, die die SOC Prime-Plattform nutzen, um ihre Bedrohungserkennungsfähigkeiten zu verbessern:
Mögliche Ausnutzung (CVE-2023-46805 / CVE-2024-21887) von Ivanti Connect Secure Auth Bypass und Command Injection-Schwachstellen (über Webserver) – Threat Hunting Sigma-Regel von Davut Selcuk , die potenzielle Ausnutzung von Ivanti Connect Secure-Schwachstellen (CVE-2023-46805 und CVE-2024-21887) im Zusammenhang mit Authentifizierungsumgehung und Befehlsinjektion erkennt.
Möglicher anfänglicher Zugang durch Ausnutzung der Microsoft Outlook Remote Code Ausführungs-Schwachstelle (MonikerLink) [CVE-2024-21413] – Threat Hunting-Regel von Kaan Yeniyol , die Remote Code-Ausführung und NTLM-Anmeldeinformationen-Angriffe in Microsoft Outlook (CVE-2024-21413) erkennt. Diese Schwachstelle kann zu einem lokalen NTLM-Anmeldeinformationsleck und zur Codeausführung führen, wenn Angreifer E-Mails mit bösartigen Links öffnen.
Verdächtiger Ivanti Pulse Connect Secure Authentifizierungsumgehungs-Schwachstellen [CVE-2023-46805] Ausnutzungsversuch (über Proxy) – Threat Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt mögliche Ivanti Authentifizierungsumgehungs-Schwachstellen [CVE-2023-46805] Ausnutzungsversuche über verbundene Anfragen.
Möglicher anfänglicher Zugang durch Ausnutzung der Ivanti Connect Secure VPN Remote Code Execution-Schwachstelle [CVE-2024-21887] (über Webserver) – Threat Hunting-Regel von Kaan Yeniyol , die eine Befehlsinjektions-Schwachstelle in den Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x) erkennt, die es einem authentifizierten Administrator ermöglicht, speziell gestaltete Anfragen zu senden und beliebige Befehle auf dem Gerät auszuführen.
Mögliche Privilegieneskalation über TrustedInstaller für Lsass-Dump durch Erkennung verbundener Befehle (über prozess_generation) – Threat Hunting Sigma-Regel von Davut Selcuk , die potenzielle Versuche zur Privilegieneskalation identifiziert, indem Aktivitäten im Zusammenhang mit der Deaktivierung von SeDebugPrivilege erkannt werden. Sie konzentriert sich speziell auf Techniken, die das TrustedInstaller-Konto nutzen, um Privilegienbeschränkungen zu umgehen und die Speicherauslagerung mithilfe von Tools wie ProcDump für lsass.exe zu ermöglichen.
Top-Autoren
Threat Bounty-Erkennungsregeln dieser Autoren waren besonders interessant und nützlich für die Unternehmen, die die SOC Prime-Plattform für ihre täglichen Sicherheitsoperationen nutzen:
Davut Selcuk – er hat im Februar 25 neue Regeln veröffentlicht, und insgesamt wurden 58 seiner Erkennungen, einschließlich der zuvor veröffentlichten Regeln, von SOC Prime-Kundenunternehmen verwendet.
Emre Ay veröffentlichte 12 neue Regeln, und Unternehmen auf der SOC Prime-Plattform luden insgesamt 38 seiner Erkennungen herunter.
Sittikorn Sangrattanapitak – 58 einzigartige Regeln, einschließlich 6 im Februar veröffentlichter Regeln, wurden heruntergeladen.
Nattatorn Chuensangarun – 45 Erkennungen, einschließlich 4 im Februar veröffentlichter Regeln, wurden von Unternehmen über die SOC Prime-Plattform heruntergeladen.
Osman Demir – 40 Erkennungsregeln, einschließlich einer im Februar veröffentlichten Regel, wurden heruntergeladen, und die Ergebnisse wurden in den Threat Bounty-Ergebnissen für Februar enthalten.
Zögern Sie nicht, dem Threat Bounty-Programm beizutreten und zum kollektiven Detektion Engineering-Projekt beizutragen, das Unternehmen weltweit dabei hilft, aufkommende Bedrohungen zu überstehen, und konzentrieren Sie sich auf Detektion Engineering für reale Fälle, die die tatsächliche Nachfrage von Organisationen weltweit ansprechen.
