SOC Prime Threat Bounty Digest — Ergebnisse September 2024
Inhaltsverzeichnis:
Erstellung, Einreichung und Veröffentlichung von Erkennungsinhalten
Im September hat das Threat Bounty Program ein erhebliches Wachstum erfahren, mit mehr Einreichungen von Erkennungsregeln zur Überprüfung und einer höheren Anzahl erfolgreicher Veröffentlichungen der Threat Bounty-Regeln auf der SOC Prime-Plattform. Wir bleiben engagiert, sicherzustellen, dass alle Mitglieder des Threat Bounty-Programms das Beste aus ihrem Zugang zu Uncoder AI herausholen um ihre Fähigkeiten in der Erkennungstechnik mit SOC Prime zu monetarisieren.
Während wir die Bemühungen aller Autoren von Bedrohungserkennungsregeln schätzen, ist es wichtig zu betonen, dass nur die Regeln veröffentlicht werden können, die die Verifizierung bestehen. Wir erkennen an, dass es für einige Programmitglieder etwas herausfordernd sein kann, ihre Erfahrung mit SIEM-spezifischen Abfragen an Erkennungsregeln anzupassen, die unseren Anforderungen entsprechen würden, wie z.B. komplexe Erkennungslogik und der Fokus auf Indikatoren von Angriffen, nicht auf die Indikatoren eines Kompromisses auf niedriger Ebene. Diese Herausforderung fördert jedoch das berufliche Fortkommen der Mitglieder des Threat Bounty-Programms und stärkt die Effektivität unserer gemeinsamen Bedrohungserkennungsanstrengungen.
Während das Threat Bounty-Programm weiter wächst, freuen wir uns, die Mitglieder des Programms zu würdigen, die Uncoder AI geschickt nutzen. Diese Personen verbessern nicht nur ihre eigenen Fähigkeiten, sondern heben sich auch auf dem Arbeitsmarkt ab, indem sie ihre Kompetenz im Umgang mit der Technologie und Methodik demonstrieren, die die Erkennungstechnik effizienter machen.
TOP September-Regeln von Threat Bounty-Autoren
Erkennung der Ausführung allgemeiner RAT (Remote Administration Tools)—Sigma-Regel von Emanuele De Lucia. Diese Regel erkennt die Ausführung der beliebtesten RATs (über process_creation).
Mögliche Ausführung der Hadooken-Malware durch Abwerfen des Payloads zur Bereitstellung von Cryptominer-Malware, die Weblogic-Anwendungen ins Visier nimmt [Linux] (über file_event) by Nattatorn Chuensangarun. Diese Sigma-Regel erkennt verdächtige Hadooken-Malware-Aktivitäten, indem sie ein bösartiges ELF-Payload zur Bereitstellung von Cryptominer-Malware bereitstellt.
Verdächtige Microsoft IIS (Internet Information Services)-Konfiguration im Zusammenhang mit einer SEO-Manipulationskampagne—Threat Bounty Sigma-Regel von Joseph Kamau. Diese Regel erkennt Änderungen an einer Konfigurationseinstellung auf II, die die erfolgreiche Bereitstellung von BadIIS-Malware auf einem kompromittierten IIS-Server ermöglicht, aufgrund der Mängel der Malware (sie kann die Ausgabe der Skripte nicht komprimieren), wie in der DragonRank SEO-Kampagne zu sehen.
Erkennung der Ausführung eines signierten Proxy-Binarys in Verbindung mit Latrodectus-Malware (über CmdLine)—Threat-Hunting-Sigma-Regel von Kyaw Pyiyt Htet. Die Regel erkennt die Ausführung eines signierten Proxy-Binarys, das mit Latrodectus-Malware verbunden ist und häufig über Spam-E-Mails verbreitet wird.
Verdächtige SChannel-Einstellung für schwache Zertifikat-Zuordnungsmethoden (über Registry-Ereignis)—Threat-Hunting-Sigma-Regel von Sittikorn Sangrattanapitak. Laut dem Autor erkennt diese Regel schwache Zertifikat-Zuordnungsmetodeneinstellungen durch Registry-Änderungen. Wenn eine Serveranwendung eine Client-Authentifizierung benötigt, versucht SChannel automatisch, das Zertifikat des Clients einem entsprechenden Benutzerkonto zuzuordnen. Dies ermöglicht die Benutzer-Authentifizierung durch Client-Zertifikate, indem Zuordnungen erstellt werden, die die Zertifikatinformationen mit einem Windows-Benutzerkonto verknüpfen.
Threat Bounty Autoren: September TOP 5
In den September-Highlights erkennen wir stolz die fünf besten Mitglieder des Threat Bounty-Programms an, deren Beiträge zur SOC Prime-Plattform außergewöhnliche Leistungen gezeigt haben. Ihre Erkennungsregeln zeichnen sich nicht nur durch ihre Qualität aus, sondern spiegeln auch das Vertrauen wider, das die Organisationen, die die SOC Prime-Plattform nutzen, in die crowdsourced Erkennungsingenieure setzen.
Nattatorn Chuensangarun der ebenfalls den Meilenstein von 50 veröffentlichten Regeln im Jahr 2024 erreicht hat und eine digitale Anerkennung als hervorragender Beitragender erhielt
Wir ermutigen alle Mitglieder des Threat Bounty-Programms, weiterhin ihre Erkennungsregeln zu verfeinern und sich mit der Community auf dem Discord-Server von SOC Prime zu engagieren. Ihre Beiträge und das Vorantreiben Ihrer Fähigkeiten sind entscheidend, um unsere kollektiven Cyberverteidigungsbemühungen zu stärken. Bleiben Sie dran für weitere Updates und Möglichkeiten in der Threat Bounty Program, und denken Sie daran, jede Regel, die Sie erstellen, ist ein Schritt zu Ihrem Exzellenz.
