SOC Prime Threat Bounty Digest — Oktober 2023 Ergebnisse

Entdecken Sie, was neu ist im Threat Bounty-Programm von SOC Prime und die Oktoberergebnisse.

Threat Bounty-Inhaltsübermittlungen

Wir freuen uns, dass die Autoren der Threat Bounty-Regeln ihre Zeit in die Validierung ihrer Erkennungen mit Warden investieren und nach bestehenden Erkennungen recherchieren, was ihnen hilft, Duplikate zu vermeiden, während sie Regeln zur Monetarisierung erstellen und einreichen. Im Oktober erhielt das SOC Prime-Team 477 Regeln zur Prüfung vor der Veröffentlichung auf der SOC Prime-Plattform. Nach der standardmäßigen Validierung und Bewertung wurden 90 Regeln zur Veröffentlichung genehmigt.

Erkunden Sie Erkennungen

Das Threat Bounty-Programm begrüßt derzeit neue begeisterte Inhaltsautoren, und wir laden alle ein, SOC Primes Discord-Server und die speziellen privaten Kanäle für Threat Bounty-Diskussionen beizutreten. Außerdem, um sicherzustellen, dass alle neuen Mitglieder über die Kriterien zur Inhaltsakzeptanz und die Standards von SOC Prime informiert sind, ermutigen wir alle Autoren, SOC Primes Webinare anzusehen und unseren Blog. 

TOP Threat Bounty-Erkennungsregeln

Diese von Threat Bounty-Mitgliedern eingereichten Erkennungen waren bei Organisationen, die die SOC Prime-Plattform nutzen, am gefragtesten:

1. Verdächtige Änderung des Registrierungsschlüssels für HTTP/2 Rapid Reset-Angriff (CVE-2023-44487)-Erkennung (über registry_event) Threat-Hunting Sigma-Regel von Davut Selcuk erkennt mögliche HTTP/2 Rapid Reset-Aktivitäten im Zusammenhang mit CVE-2023-44487.
2. Möglicher CVE-2023-42793 (Authentifikations-Bypass führend zu RCE auf JetBrains TeamCity Server) Ausnutzungsversuch (über Proxy) Threat-Hunting Sigma-Regel von Aykut Gürses identifiziert möglichen CVE-2023-42793 Ausnutzungsversuch (Authentifikations-Bypass führend zu RCE auf JetBrains TeamCity Server), der Teil der TeamCity RCE-Kette sein könnte. Basierend auf öffentlich zugänglichem POC.
3. Möglicher CVE-2023-40044 (Kritische Pre-Auth RCE-Schwächen im WS_FTP Server) Ausnutzungsversuch (über Proxy) Threat-Hunting Sigma-Regel von Aykut Gürses basierend auf öffentlich zugänglichem POC und identifiziert mögliche CVE-2023-40044 Ausnutzungsversuche (Kritische Pre-Auth RCE-Schwächen im WS_FTP Server), die Teil der TeamCity RCE-Kette sein könnten.
4. Verdächtige Enumerationsaktivität, um Benutzer mit zulässiger reversibler Passwortverschlüsselung zu finden, zugehöriger Powershell-Befehl (über ps_script) Threat-Hunting Sigma-Regel von Mustafa Gurkan KARAKAYA entdeckt mögliche Enumerationsaktivitäten zur Entdeckung von Benutzern, die die reversible Passwortverschlüsselungsfunktion im Active Directory aktiviert haben. Angreifer könnten versuchen, Benutzer mit dieser Funktion zu identifizieren und versuchen, deren Passwortinformationen im Klartext zu erhalten.
5. Möglicher CVE-2023-40044 WS_FTP und Ad Hoc Transfer IIS-Modul-Ausnutzungsversuch (über Webserver) Threat-Hunting Sigma-Regel von Sittikorn Sangrattanapitak erkennt potenzielle Ausnutzungsversuche gegen Remote-Codeausführungs-(RCE)-Schwachstelle (CVE-2023-40044) in WS_FTP.

Top-Autoren

Basierend darauf, wie die Benutzer der SOC Prime-Plattform die verfügbaren Erkennungsinhalte auf der Plattform genutzt haben, waren die Erkennungen dieser Autoren am meisten gefragt:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Emir Erdogan

Sind Sie neugierig, Ihre eigenen Erkennungen auf der SOC Prime-Plattform zu veröffentlichen? Nehmen Sie am Threat Bounty-Programm teil und helfen Sie Unternehmen weltweit, Cyberbedrohungen standzuhalten.