SOC Prime Threat Bounty Digest — Resultados de abril de 2024
Tabla de contenidos:
Publicaciones de Recompensa de Amenazas
Miembros entusiastas del Programa de Recompensa de Amenazas han enviado más de 250 detecciones para revisión y una oportunidad de tener sus detecciones publicadas en la Plataforma SOC Prime y recompensas basadas en calificaciones. Todas las reglas fueron cuidadosamente revisadas por nuestro equipo de destacados ingenieros de detección, y como resultado, 59 de las reglas enviadas fueron publicadas en el Mercado de Detección de Amenazas.
Para las publicaciones de contenido de Recompensa de Amenazas, todas las detecciones enviadas son revisadas por un equipo experimentado para determinar si se cumplen los criterios de aceptación del contenido. Animamos a los miembros del programa a adherirse a los requisitos de aceptación de contenido para asegurar que las reglas desarrolladas tengan una alta probabilidad de publicación y que los autores dediquen sus esfuerzos al desarrollo de contenido de manera razonable y eficiente.
TOP Reglas de Detección de Recompensa de Amenazas
Por favor vean las reglas de detección que fueron las más populares entre las compañías que utilizan la Plataforma SOC Prime para sus operaciones de seguridad:
- Actividad de Persistencia de Malware SSLoad Sospechosa para Uso Malicioso con Cobalt Strike de Detección de Comandos Asociados (via process_creation) regla de caza de amenazas Sigma por Davut Selcuk detecta actividad de persistencia de malware SSLoad sospechosa potencialmente asociada con el despliegue de Cobalt Strike. La detección se basa en la observación de comandos específicos ejecutados a través de eventos de creación de procesos en sistemas Windows.
- Actividad C2 Maliciosa Sospechosa de ‘MuddyWater contra un objetivo en Medio Oriente’ por Detección de Línea de Comando de PowerShell regla de caza de amenazas Sigma por Aung Kyaw Min Naing detecta la ejecución maliciosa de powershell por MuddyWater contra un objetivo en Medio Oriente para abusar de la clave de registro AutodialDLL y cargar DLL para el marco C2.
- Ataques de Inyección de Comandos Altamente Posibles usando Vulnerabilidad de Rust (CVE-2024-24576) regla de caza de amenazas por Emir Erdogan detecta ataques de inyección de comandos de Windows a través del lenguaje de programación rust con la ayuda de logs de process_creation.
- Actividad de Persistencia de XWorm Sospechosa por Detección de Comandos Asociados (via process_creation) regla de caza de amenazas Sigma por Davut Selcuk apunta a detectar actividades de persistencia sospechosas asociadas con el malware XWorm. La regla identifica posibles instancias donde XWorm establece persistencia en el sistema utilizando schtasks.exe.
- Posible Persistencia de Forest Blizzard al Agregar Registro para Desplegar Archivo DLL a través de Servicio de Windows (via registry_event) regla de caza de amenazas Sigma por Nattatorn Chuensangarun detecta actividad sospechosa de Forest Blizzard al agregar una clave de registro para ejecutar un archivo DLL malicioso a través de servicios de Windows.
Principales Autores
Las reglas de detección de los siguientes miembros del Programa de Recompensa de Amenazas fueron las más referenciadas por usuarios activos que confían en la Plataforma SOC Prime para mejorar las operaciones de seguridad en sus organizaciones:
Nos complace anunciar que los siguientes autores recibieron insignias de reconocimiento por sus contribuciones activas a la Plataforma SOC Prime este año:
Sittikorn Sangrattanapitak and Mehmet Kadir CIRIK – por alcanzar el hito de 10 publicaciones exitosas este año
Davut Selcuk – por lograr 50 publicaciones exitosas de reglas de detección en la Plataforma SOC Prime en 2024.
Cambios futuros
Esperamos introducir un nuevo flujo para que los miembros del Programa de Recompensa de Amenazas creen y gestionen sus reglas de Recompensa de Amenazas a través de Uncoder AI. La próxima versión reemplazará completamente el Portal de Desarrolladores y el Bot de Reglas Sigma para Recompensa de Amenazas, y Uncoder AI se utilizará como una herramienta IDE y de gestión de envíos de contenido para los miembros del Programa de Recompensa de Amenazas.
Informaremos adicionalmente a los miembros de Recompensa de Amenazas sobre los detalles de los próximos cambios en Discord, a través del Portal de Desarrolladores antes de su fin de vida útil, y por correo electrónico. Estad atentos a los anuncios y boletines sobre el Programa de Recompensa de Amenazas!
