SOC Prime Threat Bounty Digest – Ergebnisse November 2023

Threat Bounty-Inhalt

Wir setzen die Zusammenarbeit mit Threat Bounty-Programm Mitgliedern fort, um die SOC Prime-Plattform mit anwendbarem Erkennungsinhalt für Verhaltensdetektionsregeln zu bereichern. In der sich schnell verändernden Bedrohungslandschaft von heute verlassen sich Sicherheitsexperten, die die SOC Prime-Plattform nutzen, um ihre Unternehmensumgebungen zu verteidigen, auf SIEM-Inhalte, die Verhaltensmuster erkennen können, und verwenden Uncoder IA als IDE für die interne Inhaltsentwicklung oder die Ad-hoc-Analyse von IOCs in anwendbare SIEM- oder EDR-spezifische Abfragen.

Entdeckungen erkunden

In Anbetracht dessen dienen die Anforderungen und die Akzeptanzkriterien für die Threat Bounty-Erkennungen, die zur Monetarisierungsänderung auf der SOC Prime-Plattform eingereicht werden, als wesentliche Maßnahmen zur Sicherstellung der Qualität der eingereichten Erkennungsregeln. Beispielsweise existieren strenge Standards für die Akzeptanz von Threat Bounty-Regeln, um sicherzustellen, dass die veröffentlichten Threat Bounty-Erkennungen Effizienz und Funktionalität beibehalten und kontinuierlich in den Betriebsumgebungen der Unternehmen, die die SOC Prime-Plattform nutzen, zuverlässig sind.

TOP Threat Bounty-Erkennungsregeln

Die folgenden Regeln, die über das Threat Bounty-Programm auf der SOC Prime-Plattform veröffentlicht wurden, erweckten das größte Interesse unter den Plattformnutzern:

1. Threat Hunting Sigma-Regel Rhysida Ransomware (RaaS)-Gruppe zielt auf lateinamerikanische Regierungsinstitutionen mit der Nutzung verwandter Befehlszeilenparameter (via process_creation) by Mehmet Kadir CIRIK. Diese Regel erkennt verdächtige Befehlszeilenparameter, die von der Rhysida Ransomware verwendet werden.
2. Verdächtige Registry Key-Änderung bei DarkGate Malware Aktivität (via registry_event) Threat Hunting Sigma-Regel von Davut Selcuk. Diese Regel erkennt Änderungen an Registry-Schlüsseln, die mit DarkGate in Verbindung stehen, einem Loader mit RAT-Fähigkeiten, der als Malware-as-a-Service (MaaS) verkauft wird.
3. Verdächtige LockBit 3.0 Ransomware-Ausführung durch Erkennung verwandter Befehle (via cmdline) by Osman Demir. Diese Threat Hunting Sigma-Regel erkennt mögliche LockBit 3.0 Ransomware, die verteilt wird, während sie als Bewerbungs-E-Mails getarnt ist.
4. Mögliche Remote-System-Discovery-Aktivität auf Linux durch Erkennung des zugehörigen Befehls (via process_creation) Threat Hunting Sigma von Emre Ay. Diese Regel erkennt bösartiges Verhalten, wenn Angreifer versuchen, eine ARP-Tabelle für Hosts anzuzeigen, die dasselbe Netzwerksegment auf einem Linux-System teilen.
5. Verdächtiges Abrufen des Klartext-Geheimwerts aus Azure KeyVault durch Erkennung des zugehörigen Befehls (via process_creation) Threat Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA erkennt ein mögliches Abrufen eines Geheimwerts aus dem Azure Keyvault als Klartext über den zugehörigen Befehl.

Top-Autoren

Erkennungsregeln, die von diesen Threat Bounty-Inhaltsautoren erstellt wurden, erhielten die meisten Bewertungen basierend auf den Aktivitäten von Plattformnutzern, die Threat Detection Marketplace:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

Davut Selcuk

Möchten Sie ein Threat Bounty-Programm Mitglied werden und Unternehmen weltweit helfen, sich mit Ihren eigenen Erkennungsregeln gegen Cyber-Bedrohungen zu verteidigen?