SOC Prime Threat Bounty Digest — Ergebnisse Januar 2024

[post-views]
Februar 19, 2024 · 3 min zu lesen
SOC Prime Threat Bounty Digest — Ergebnisse Januar 2024

Threat Bounty Inhalt

Im Januar waren die Mitglieder des Threat Bounty Programms sehr aktiv bei der Einreichung von Detektionen zur Überprüfung durch das Content-Verifikationsteam von SOC Prime. Nach der Verifizierung und Prüfung der vorgeschlagenen Regeln wurden 44 Detektionen auf dem Threat Detection Marketplace veröffentlicht, obwohl einige Regeln kleinere Änderungen erforderten und an die Autoren zur endgültigen Korrektur zurückgesandt wurden.

Detektionen erkunden

Wie gewohnt steht unser Team bereit, Fragen zu den Kriterien der Inhalteakzeptanz auf SOC Prime’s Discord-Server zu beantworten. Da sich die SOC Prime Plattform weiterentwickelt, ändern sich auch die Kriterien für die Inhalteakzeptanz, und es ist wichtig, dass alle Autoren, unabhängig von ihrer Erfahrung mit Threat Bounty Veröffentlichungen, verstehen, welcher Detection-Code zur Veröffentlichung akzeptiert wird. Dies kann den Content-Autoren helfen, ihre Zeit in die Forschung und Entwicklung von Threat Bounty-Regeln sinnvoller und effizienter zu investieren.

TOP Threat Bounty Detection-Regeln

Diese fünf Detektionen, die im Rahmen des Threat Bounty Programms veröffentlicht wurden, waren bei den Organisationen, die die SOC Prime Plattform zur Verbesserung ihrer Sicherheitsoperationen nutzen, am beliebtesten:

Verdächtiger Ivanti Pulse Connect Secure Authentication Bypass Vulnerability [CVE-2023-46805] Exploit-Versuch (via Proxy) – eine Threat-Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt möglichen Ivanti Authentication Bypass Vulnerability [CVE-2023-46805] Exploit-Versuch durch die mit der Schwachstelle in Zusammenhang stehende Anfrage.

Ereignisprotokoll wurde mit Diagnosen gelöscht (via PowerShell) – Threat-Hunting Sigma-Regel von Michel de Crevoisier. Diese Regel entdeckt Szenarien, in denen ein Angreifer versucht, die Ereignisprotokolle zu löschen.

Möglicher erster Zugriff durch die Ausnutzung der Ivanti Connect Secure VPN Remote Code Execution Vulnerability [CVE-2024-21887] (via Webserver) – Threat-Hunting Sigma-Regel von Kaan Yeniyol. Diese Regel entdeckt eine Befehlsinjektionsschwachstelle in den Webkomponenten von Ivanti Connect Secure (9.x, 22.x) und Ivanti Policy Secure (9.x, 22.x), die es einem authentifizierten Administrator ermöglicht, speziell gestaltete Anfragen zu senden und willkürliche Befehle auf dem Gerät auszuführen.

Verdächtiger DLL-Ladevorgang ohne Übergabe von Parametern durch Manipulation der AutoRegister-Funktion von RegSvr (via process_creation) – Detektion von Mustafa Gurkan KARAKAYA. Diese Regel erkennt mögliche Aktivitäten zum Hinzufügen von Registrierungsschlüsseln, um die AutoRegister-Funktion von regsvr zu manipulieren.

Erkennung von Ransomware-Verteilung über TeamViewer (via cmdline) – die Threat-Hunting Regel von Furkan Celik endet mögliche anfängliche Ransomware-Verteilung, die mit einer .bat-Datei gestartet wird, die vom Desktop des Benutzers ausgeführt wird. Danach wird der rundll32-Prozess mit der .bat-Datei verwendet.

Top-Autoren

Threat Bounty Regeln dieser fünf Autoren waren unter den Nutzern des Threat Detection Marketplace am beliebtesten:

Nattatorn Chuensangarun 112 Detektionen wurden von Organisationen verwendet, die SOC Prime nutzen, darunter 6 Regeln, die im Vormonat veröffentlicht wurden.

Osman Demir – 80 Detektionen dieses Autors wurden von den SOC Prime Kunden genutzt. Alle Detektionen wurden früher veröffentlicht.

Davut Selcuk – 27 Regeln dieses Autors, darunter 12 kürzlich veröffentlichte Detektionen, wurden von SOC Prime-Nutzern über den Threat Detection Marketplace verwendet.

Mustafa Gurkan KARAKAYA – 50 Regeln, darunter acht kürzlich veröffentlichte Detektionen, halfen Organisationen, die SOC Prime nutzen, ihre Bedrohungserkennungskapazitäten zu verbessern.

Sittikorn Sangrattanapitak – 90 Detektionsregeln, darunter eine kürzlich veröffentlichte Erkennung, wurden von den Organisationen verwendet, die SOC Prime nutzen.

Außerdem möchten wir die Autoren erwähnen, deren Detektionen auf dem Threat Detection Marketplace das beste Ansicht/Download-Verhältnis zeigen, was bedeutet, dass die Detektionen von SOC Prime Kunden nach Ansicht des Codes heruntergeladen oder eingesetzt werden:

Emre Ay

Kyaw Pyiyt Htet

Joseph Kamau

Michel Crevoisier

Aung Kyaw Min Naing

Ctragen Sie zur kollektiven Cybersicherheit mit Ihren eigenen Detektionsregeln bei über Threat Bounty Programms, und erhalten Sie eine Belohnung für Ihren Einfluss.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Blog, Neueste Bedrohungen — 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten
Veronika Telychko