SOC Prime Threat Bounty Digest — März 2024 Ergebnisse
Inhaltsverzeichnis:
Threat Bounty Veröffentlichungen
Im März 2024 wurden 40 Bedrohungserkennungsregeln erfolgreich über das Threat Bounty Program auf der SOC Prime Plattform veröffentlicht, nachdem sie von unserem Content-Team überprüft wurden. Obwohl wir insgesamt eine Verbesserung der Qualität der Einreichungen beobachten, gibt es auch einige typische Missverständnisse, die in den Veröffentlichungsansätzen vieler Autoren erkennbar sind. Heute möchten wir diese Informationen mit Ihnen teilen, in der Hoffnung, dass sie den Beitragsautoren des Threat Bounty helfen, mehr erfolgreiche Veröffentlichungen zu erzielen.
Erkennungsregeln, die speziell auf den IOCs basieren, die in einigen Blogbeiträgen, Artikeln, Newslettern usw. bereitgestellt werden, sind nicht die Regeln, die SOC Prime von Threat Bounty-Mitgliedern als Beitrag für die Veröffentlichung erwartet. Wenn es um Crowd-Sourced Detection Engineering geht, möchten wir mehr Inhalte zu Tools und Erkennungsregeln im Zusammenhang mit Korrelationselementen spezifischer Verhaltensweisen sehen.
Für einen reibungslosen Start bei den Veröffentlichungen empfiehlt unser Team den Programmmmitgliedern, die im Threat Bounty FAQ Abschnitt des SOC Prime Help Centers aufgeführten Richtlinien zu befolgen. Wenn Sie das Gefühl haben, dass Sie auch einige praktische Leitlinien benötigen, sind Sie herzlich eingeladen, sich unsere Webinare von SOC Primeanzusehen, insbesondere die, die sich auf Sigma und Threat Hunting sowie das Threat Bounty Program konzentrieren.
Darüber hinaus wird das kommende Webinar, das kürzlich auf SOC Primes Discordangekündigt wurde, sich auf die häufigen Herausforderungen konzentrieren, denen jene gegenüberstehen, die gerade erst begonnen haben, Regeln für Threat Bounty zu schreiben, und Richtlinien für die Autoren bieten, die daran interessiert und motiviert sind, ihre Annahmequote und die durchschnittliche Zahl erfolgreicher Veröffentlichungen zu verbessern. Wir sind offen für Fragen, Vorschläge und persönliche Erfahrungsberichte zu den Threat Bounty-Veröffentlichungen – wenn Sie etwas zu teilen haben, lassen Sie es uns auf Discord wissen. Bleiben Sie auf dem Laufenden für weitere Informationen zum Datum und zur Uhrzeit des Webinars.
TOP Threat Bounty Erkennungsregeln
Die folgenden Regeln, die über das Threat Bounty Program auf der SOC Prime Plattform veröffentlicht wurden, fanden im März 2024 das größte Interesse unter den Nutzern der Plattform:
- Mögliche Bereitstellung eines Kryptowährungs-Miners mit Persistenzbefehlen in ScreenConnect nach Ausnutzung (CVE-2024-1709 & CVE-2024-1708) (via process_creation) – Threat Hunting Sigma-Regel von Davut Selcuk erkennt die mögliche Bereitstellung eines Kryptowährungs-Miners und Persistenzbefehle während nach Ausnutzungsaktivitäten über ScreenConnect. Sie kann spezifische Befehlssequenzen identifizieren, die schtasks.exe betreffen, wobei geplante Aufgaben erstellt werden, die SentinelUI.exe enthalten.
- Erkennung der Erstellung verdächtiger Dateien durch die APT-Gruppe Water Hydra, die die Microsoft Defender SmartScreen Zero-Day-Schwachstelle (CVE-2024-21412) ausnutzt (via file_event) – Threat Hunting Sigma-Regel von Davut Selcuk erkennt die Erstellung verdächtiger Dateien durch die APT-Gruppe Water Hydra, die die Schwachstelle von Microsoft Defender SmartScreen (CVE-2024-21412) in Kampagnen ausnutzen, die auf Finanzmarkttrader abzielen.
- Verdächtige Persistenzaktivität von TinyTurla Malware durch russische Spionagegruppe über zugeordnete Befehlszeile (via process_creation) – Threat Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt mögliche Persistenzaktivitäten von TinyTurla Malware, indem ein zugehöriger Dienst durch Hinzufügen eines Registrierungsschlüssels erstellt wird.
- Mögliche Persistenzaktivität von RA World Ransomware durch Erstellung eines verdächtigen Dienstes (via security) – Threat Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt mögliche Persistenzaktivität von RA World Ransomware durch Erstellung eines zugehörigen Dienstes.
- Mögliches erster Zugang durch Ausnutzung der Microsoft Outlook Remote Code Execution-Schwachstelle (MonikerLink) [CVE-2024-21413] – Threat Hunting Sigma-Regel von Kaan Yeniyol erkennt mögliche Remote-Code-Ausführung und NTLM-Credential-Angriffe in Microsoft Outlook (CVE-2024-21413).
Top Autoren
Während wir noch dabei sind, alle notwendigen Informationen für die Auszahlung der Prämien zu sammeln und zu validieren, möchte ich dennoch die Liste der fünf besten Threat Bounty-Autoren des Monats teilen. Im März wurden die Erkennungsregeln dieser fünf Autoren von den Nutzern des Threat Detection Marketplace am häufigsten unter den anderen Autoren von Threat Bounty-Erkennungsregeln genannt:
Außerdem erhielten fünf Mitglieder des Threat Bounty Program bereits Anfang dieser Woche Anerkennungsabzeichen von SOC Prime als Beweis für ihre wertvollen Beiträge und das Erreichen von zehn erfolgreichen Veröffentlichungen ihrer Bedrohungserkennungsregeln im Jahr 2024. Erfahren Sie mehr über die Threat Bounty-Abzeichen und die jüngsten Auszeichnungen in diesem Artikel.
Wir laden qualifizierte und motivierte Personen ein, die an der Entwicklung ihrer Detection Engineering-Kompetenzen interessiert sind und mit ihren Beiträgen Geld verdienen möchten, sich für die Teilnahme am Threat Bounty Program zu bewerben!
