SOC Prime Threat Bounty Digest – Ergebnisse September 2023
Inhaltsverzeichnis:
Lernen Sie das neue Threat Bounty Program Digest kennen, das die neuesten Nachrichten und Updates der Crowdsourced Detection Engineering-Initiative von SOC Prime abdeckt.
Threat Bounty Content-Einreichungen
Im September reichten die Mitglieder des Threat Bounty Programms 629 Regeln zur Überprüfung durch das SOC Prime-Team ein, bevor sie zur Monetarisierung veröffentlicht wurden. Nach der Überprüfung und Qualitätsbewertung sowie zahlreichen Iterationen zur Verbesserung, wo möglich, wurden 90 Regeln zur Veröffentlichung auf der SOC Prime Platform genehmigt.
Um sicherzustellen, dass sowohl Threat Bounty-Inhaltsentwickler als auch die globale Cybersicherheitsgemeinschaft den größten Nutzen aus der SOC Prime Platform ziehen können, haben wir einige Verbesserungen an den bestehenden Arbeitsabläufen und der Kommunikation für das Threat Bounty Program eingeführt. Zum Beispiel haben wir auf dem Discord-Server von SOC Prime einen dedizierten Kanal zur Wissens- und Erfahrungsaustausch mit Gleichgesinnten eingerichtet, um sicherzustellen, dass die Anleitungen zur Entwicklung von Threat Bounty-Inhalten bekannt und für die Programmmitglieder verfügbar sind.
Somit führt SOC Prime Änderungen an den aktuellen Arbeitsabläufen ein, einschließlich Kommunikation und Aufsicht durch das SOC Prime Detection Engineering Team, Regelannahme, Überprüfungsprozess und Belohnungen. Eingeführte Änderungen sind erforderlich, um die Weiterentwicklung des Threat Bounty Programms und seine Reife zu gewährleisten und um das Crowdsourced Detection Engineering mit den Bedürfnissen der Gemeinschaft für proaktive Bedrohungserkennung und Threat Hunting in Einklang zu bringen.
TOP Threat Bounty Erkennungsregeln
Dies sind die Regeln, die bei den vorhandenen Platform-Kunden die größte Aufmerksamkeit erregt haben:
- Mögliches Lokibot-Ziel Microsoft Office-Dokument unter Verwendung bekannter Schwachstellen durch Erkennung zugehöriger Befehle (via process_creation) – eine Threat Hunting Sigma-Regel von Emre AY. Diese Regel erkennt die Lokibot-Kampagne, die Microsoft Office-Dokumente unter Verwendung von Schwachstellen über zugehörige Befehle angreift.
- Mögliche Steal-It-Kampagnenaktivität zum Setzen der Umgebungsvariable durch Erkennung der zugehörigen Befehlszeilen (via process_creation) – eine Threat Hunting-Regel von Mustafa Gurkan KARAKAYA. Diese Regel erkennt mögliche Befehlsausführungen einer Steal-It-Kampagne zum Setzen der Umgebungsvariable mit einem verdächtigen Dateispeicherort.
- Verdächtige Akira-Ransomware-Ausführung durch Erkennung zugehöriger Parameter (via cmdline) – eine Threat Hunting-Regel von Osman Demir. Diese Regel erkennt mögliche Angriffskampagnen und die Malware, die mit einem bestimmten Parameter Ransomware-Aktivitäten ausführt.
- Mögliche Aufzählungsaktivität der BlackCat-Ransomware (alias ALPHV) durch Erkennung zugehöriger Powershell-Befehle (via ps_script) – eine Threat Hunting-Regel von Mustafa Gurkan KARAKAYA.
- Mögliche Aktivierung des Apple Remote Desktop-Agenten zur Ausführung von Remote-Code und lateralem Bewegungsmanöver durch Erkennung zugehöriger Befehle (via process_creation) – eine Threat Hunting-Regel von Emre AY. Diese Regel erkennt die Angreifer, die versuchen, die Remote-Desktop-Verwaltung für den Fernzugriff auf das Zielsystem für alle Benutzer mit allen Privilegien durch Ausführung eines Kickstart-Befehls zu aktivieren.
Top-Autoren
Diese Autoren von Threat Bounty-Erkennungsregeln erzielten traditionell die meisten Interaktionen mit ihren Inhalten durch Platform-Nutzer:
Wir ermutigen begeisterte Entwickler von SIEM-Erkennungsregeln, dem SOC Prime Threat Bounty Program beizutreten und zur kollektiven Cyberverteidigung beizutragen, während sie ein persönliches Portfolio mit dem Marktführer erstellen und sich professionell in der globalen Cybersicherheitsgemeinschaft weiterentwickeln.
