Ergebnisse des Threat-Bounty-Programms — Mai 2024
Inhaltsverzeichnis:
Veröffentlichungen
Im Mai erhielt unser Content-Verifikationsteam mehr als 300 Einreichungen zur Überprüfung. Nach der Überprüfung und in einigen Fällen wiederholten Revisionen mit kleineren Korrekturen am Code wurden 59 neue einzigartige Bedrohungserkennungsregeln von Threat Bounty Program Inhaltsautoren erfolgreich auf dem Threat Detection Marketplace.
Die abgelehnten Einreichungen erfüllten nicht die Annahmekriterien für die Veröffentlichung. Wir möchten alle Mitglieder des Threat Bounty Programs, die planen, ihre Inhalte auf der SOC Prime Plattform zur Monetarisierung zu veröffentlichen, daran erinnern, die Inhaltsanforderungen bei der Erstellung und Einreichung ihrer Threat Bounty-Regeln zu berücksichtigen.
Erkennungsregeln, die in realen Produktionsumgebungen von Unternehmen nicht effektiv für die Verhaltensweisen zur Bedrohungserkennung genutzt werden können, werden nicht von SOC Prime zur Veröffentlichung angenommen. Um das Niveau der Professionalität unserer aktiven Threat Bounty-Autoren an die tatsächliche Nachfrage nach umsetzbaren Verhaltensalgorithmus für die Bedrohungserkennung anzugleichen, sprechen wir in SOC Primes Webinaren und Workshops über unsere Standards und Technologien und empfehlen, unseren Aktivitäten zu folgen, um informiert zu bleiben und Ihre beruflichen Fähigkeiten und Interessen entsprechend zu entwickeln.
TOP Threat Bounty Detection Rules
Diese fünf von Mitgliedern des Threat Bounty Program veröffentlichten Erkennungsregeln zeigten die beste Übereinstimmung mit der Nachfrage der Organisationen, die die SOC Prime Plattform zur Verbesserung ihrer Sicherheitsoperationen nutzen:
Verdächtige IcedID(auch bekannt als Latrodectus [IceNova]) Malware-Ausführungsaktivität durch Erkennung der zugehörigen Befehle (über process_creation) – Bedrohungsjagd Sigma-Regel von Davut Selcuk zielt darauf ab, verdächtige Ausführungsaktivitäten im Zusammenhang mit der IcedID(auch bekannt als Latrodectus [IceNova]) Malware zu identifizieren, indem Prozessanfang-Ereignisse überwacht werden.
Mögliche ShrinkLocker Ransomware-Aktivität zur Ausnutzung von Microsoft Bitlocker durch Ändern des zugehörigen Registrierungsschlüssels (über registry_event) – die Bedrohungsjagd Sigma-Regel von Emre Ay erkennt das Verhalten der Shrinklocker Ransomware, die versucht, einen Registrierungswert zu ändern, der es ihr ermöglicht, Microsoft Bitlocker auszunutzen.
Verdächtige Latrodectus (IceNova) Malware-Ausführungsaktivität erkannt durch rundll32.exe (über process_creation) – Bedrohungsjagd Sigma-Regel von Davut Selcuk die verdächtige Ausführungsaktivitäten im Zusammenhang mit der Latrodectus (IceNova) Malware erkennt, die rundll32.exe zur Ausführung verwendet.
Mögliche Änderung der Registrierungsaktivität des ShrinkLocker Ransomwares zur Ausnutzung von Bitlocker (über registry_event) – Bedrohungsjagd Sigma-Regel von Emre Ay erkennt die verdächtige Änderung des zugehörigen Registrierungsschlüssels durch die ShrinkLocker Ransomware zur Ausnutzung des mit BitLocker verbundenen Registrierungswertes.
Verdächtige bösartige C2-Aktivität von ‚MuddyWater gegen ein Ziel im Nahen Osten‘ durch Erkennung von PowerShell-Befehlszeile – Bedrohungsjagd Sigma-Regel von Aung Kyaw Min Naing. Diese Regel erkennt bösartige PowerShell-Ausführungen durch MuddyWater gegen ein Ziel im Nahen Osten, um den AutodialDLL-Registrierungsschlüssel auszunutzen und DLL für den C2-Rahmen zu laden.
Top-Autoren
Die folgenden Beitragenden von crowdsourced Bedrohungserkennungsregeln für das Threat Bounty Program erreichten die höchsten Bewertungspositionen aufgrund ihrer Beiträge, basierend darauf, wie ihre Threat Bounty-Erkennungen von Organisationen über die SOC Prime Plattform genutzt wurden:
Zwei Autoren von Threat Bounty-Erkennungsregeln, Joseph Kamau and Bogac Kaya, erreichten in diesem Jahr den Meilenstein von 10 erfolgreichen Veröffentlichungen und werden als vertrauenswürdige SOC Prime Beitragende anerkannt.
Kommende Änderungen
Die in den vorherigen monatlichen Digest beschriebenen Änderungen zu den Tools des Threat Bounty Programs gehen bald live. Insbesondere werden Mitglieder des Threat Bounty Program damit beginnen, Uncoder AI für ihre Threat Bounty-Veröffentlichungen und Fortschrittsverfolgung zu nutzen. Das Entwicklerportal sowie der Sigma Rules Slack Bot werden nicht länger unterstützt und nicht mehr für das Threat Bounty Program verwendet. Die Benutzeranleitungen werden im Hilfezentrum von SOC Prime verfügbar sein, und Programmteilnehmer können das neue Tool ausprobieren, um ihre Erkennungen einzureichen, sobald die Uncoder AI für Threat Bounty-Regeln einsatzbereit ist. Bleiben Sie dran für unsere kommenden Ankündigungen über die Threat Bounty Program!
