SOC Prime Threat Bounty Digest – Juni 2024 Ergebnisse
Inhaltsverzeichnis:
Erkennungsinhalt Einreichung & Veröffentlichung
Im Juni begannen die Mitglieder des Threat Bounty Programms von SOC Prime mit der Nutzung von Uncoder AI , um Regeln zu erstellen, zu validieren und einzureichen, die vor der Veröffentlichung auf der SOC Prime-Plattform überprüft werden. Wir freuen uns, den Autoren ein Tool zur Verfügung zu stellen, das sie bei der Erstellung hochwertiger Erkennungsregeln für Threat Bounty unterstützt und ihre berufliche Weiterentwicklung fördert. Unser Team ist bestrebt, Erkennungsingenieure, DFIR-Spezialisten und SOC-Analysten mit den besten Technologien auszurüsten, um ihre technischen und analytischen Fähigkeiten zu verbessern, echte Herausforderungen zu meistern und ihre beruflichen Hintergründe mit den Anforderungen der Branche in Einklang zu bringen, während die Autoren belohnt werden, die aktiv an der Crowdsourced Detection Engineering-Initiative von SOC Prime teilnehmen. Erfahren Sie mehr über die Entwicklung des Threat Bounty Programms in diesem Artikel.
Im Juni veröffentlichten die Programmmitglieder erfolgreich 24 neue einzigartige Threat Bounty-Erkennungsregeln, die bösartige Verhaltensweisen identifizieren können. Mit Hilfe der integrierten Validierung verbesserten die Inhaltsautoren ihr Verständnis der Sigma-Syntax, was ihnen half, in Zukunft häufige Fehler zu vermeiden. Das Überprüfungsteam beobachtet die ständige Verbesserung der eingereichten Regeln, um die Annahmekriterien für Threat Bounty-Einreichungen zu erfüllen.
Das von SOC Prime bereitgestellte Feedback während des Inhaltsüberprüfungsprozesses half, die weiteren Bemühungen, die auf Forschung und Regelentwicklung verwendet wurden, mit dem Bedarf an umsetzbaren Inhalten zur Erkennung bösartiger Verhaltensweisen in Einklang zu bringen. Das Überprüfungsteam hat mehr Regeln erhalten, die den Annahmekriterien für Threat Bounty.
entsprechen. Die Funktionen von Uncoder AI, einschließlich eines privaten Inhaltsrepositories innerhalb der SOC Prime-Plattform, stehen allen Mitgliedern des Threat Bounty Programms zur Verfügung, und wir ermutigen sie, das Tool aktiv für die persönliche und berufliche Weiterentwicklung sowie für die Arbeit mit verschiedenen Arten von Inhalten und Formaten zu nutzen. Wir akzeptieren jedoch weiterhin nur Erkennungsregeln, die den Programm-Anforderungenentsprechen, daher empfehlen wir den Autoren, die ihre Erkennungsregeln monetarisieren möchten, die Anforderungen jedes Mal zu befolgen, wenn sie ihre Regel zur Monetarisierung auf der SOC Prime-Plattform veröffentlichen möchten.
TOP Threat Bounty Erkennungsregeln
Die folgenden Threat Bounty-Erkennungen wurden von den Unternehmen, die SOC Prime nutzen, am häufigsten erwähnt:
Mögliche Erkennung des Black Basta Exploit-Tools, das eine Windows-Privilege-Escalation-Schwachstelle zur Persistenz verwendet (CVE-2024-26169) (über registry_set) – Bedrohungsjagd-Sigma-Regel von Davut Selcuk , die den Einsatz eines Exploit-Tools erkennt, das mit der Black Basta-Ransomware-Gruppe in Verbindung steht und eine Windows-Privilege-Escalation-Schwachstelle (CVE-2024-26169) im Windows-Fehlerberichterstellungsdienst ausnutzt, um Persistenz zu erreichen. Die Cardinal-Cybercrime-Gruppe (auch bekannt als Storm-1811, UNC4393) wurde mit der Ausnutzung dieser Schwachstelle als Zero-Day in Verbindung gebracht. Das Exploit-Tool nutzt die Tatsache aus, dass die Windows-Datei werkernel.sys beim Erstellen von Registrierungs-Schlüsseln einen Null-Sicherheitsdeskriptor verwendet.
Mögliche Erkennung der WARMCOOKIE-Backdoor-Ausführung im Zusammenhang mit verdächtigen rundll32.exe-Ausführungen und zugehörigen Befehlen (über process_creation) – Bedrohungsjagd-Sigma-Regel von Davut Selcuk , die hilft, verdächtige Ausführungen von rundll32.exe zu erkennen, die mit der WARMCOOKIE-Backdoor in Verbindung stehen. WARMCOOKIE ist eine Backdoor, die von Bedrohungsakteuren verwendet wird, um Systeme zu infiltrieren und zu kompromittieren, und wird häufig über Phishing-Kampagnen mit Rekrutierungsthemen verbreitet. Sie verwendet rundll32.exe, um bösartige Nutzlasten aus temporären Verzeichnissen auszuführen, mit dem Ziel der Persistenz und Fernsteuerung.
Mögliche ShrinkLocker-Ransomware-Aktivität, um Microsoft Bitlocker durch Modifizieren eines zugehörigen Registrierungsschlüssels zu missbrauchen (über registry_event) – die Bedrohungsjagd-Sigma-Regel von Emre Ay erkennt das Verhalten der Shrinklocker-Ransomware, die versucht, einen Registrierungswert zu ändern, was es ihr ermöglicht, Microsoft Bitlocker zu missbrauchen.
SolarWinds Serv-U-FTP Directory Traversal-Schwachstelle (CVE-2024-28995) – Bedrohungsjagd-Sigma-Regel von Emir Erdogan. Diese Regel identifiziert Ausnutzungsversuche der SolarWinds Serv-U-FTP Directory Traversal-Schwachstelle mithilfe von Webserver-Protokollen.
Verdächtige Befehlsaussführungen von STOP-Ransomware durch Erkennung des zugehörigen Befehlszeile (über process_creation) – Bedrohungsjagd-Sigma-Regel von Emre Ay erkennt verdächtige Befehle im Zusammenhang mit STOP/DJVU-Ransomware, die darauf abzielen, ihre bösartige Aktivität durch die Verwendung zugehöriger Befehle zu starten.
Top-Autoren
Threat Bounty-Erkennungsregeln dieser Autoren waren im Juli auf der Plattform am beliebtesten:
Zudem erhielt Emir Erdogan ein digitales Abzeichen als Vertrauenswürdiger Beitragender als Anerkennung für seinen Beitrag zur SOC Prime-Plattform in diesem Jahr.
Wenn Sie dem Erfolg der Autoren folgen möchten, die SOC Prime regelmäßig für ihre Beiträge anerkennt, lesen Sie das aufschlussreiche Interview mit Kyaw Pyiyt Htet , der als einer der Top-20-Beitragenden von SOC Prime anerkannt wurde.
Verbessern Sie Ihre Fähigkeiten mit Uncoder AI als Ihre IDE für Erkennungstechnologie, und monetarisieren Sie Ihre Fähigkeiten durch Veröffentlichungen auf der SOC Prime-Plattform mit dem Threat Bounty-Programm.
