SOC Prime Threat Bounty Digest — Resultados de Agosto 2023
Tabla de contenidos:
Los resúmenes mensuales de Threat Bounty cubren lo que está sucediendo en la comunidad de SOC Prime Threat Bounty. Cada mes publicamos las novedades y actualizaciones del Programa y damos recomendaciones sobre la mejora del contenido basado en nuestras observaciones y análisis durante la verificación del contenido de Threat Bounty.
Envíos de contenido de Threat Bounty
Durante el mes de agosto, los miembros del Programa Threat Bounty enviaron 625 reglas para revisión por parte del equipo de SOC Prime. Aunque las reglas se someten a validación automática por el Warden de reglas, un examen y validación exhaustivos por parte del equipo de expertos aseguran que solo las detecciones de la mejor calidad estén disponibles en la plataforma SOC Prime. Tras la revisión y las sugerencias de mejoras, se publicaron 103 reglas Sigma por miembros de Threat Bounty en el Mercado de Detección de Amenazas y están disponibles para los usuarios de la plataforma según sus planes de suscripción.
Estamos muy preocupados por la situación de que muchos desarrolladores de Threat Bounty que han sido miembros activos del Programa durante meses o incluso años continúan enviando contenido que no califica según los criterios de aceptación del Programa. Para algunos miembros, el porcentaje de reglas publicadas con éxito es inferior al 10% de las enviadas. Por ello, insistimos en que los desarrolladores de Sigma de Threat Bounty, que continuamente tienen la mayoría de su contenido rechazado, deben revisar regularmente las directrices de Threat Bounty disponibles en el Centro de ayuda y ver los webinars de SOC Prime sobre la creación de contenido. El equipo de SOC Prime y la comunidad profesional están aquí para usted en el Discord de SOC Prime en caso de tener alguna pregunta.
TOP Reglas de Detección de Threat Bounty
Estamos encantados de presentar las 5 mejores reglas de detección escritas por los desarrolladores de Threat Bounty. Estas reglas han demostrado atender mejor las necesidades de seguridad de las empresas que utilizan SOC Prime entre el contenido de Threat Bounty.
- Posible Ejecución de Comandos de la Vulnerabilidad Zero-Day de Citrix ADC (CVE-2023-3519) Para Extraer Información a Ruta Sospechosa (via process_creation) La regla Sigma de Mustafa Gurkan KARAKAYA detecta posibles comandos utilizados al explotar la vulnerabilidad CVE-2023-3519 para copiar información crítica a una ruta sospechosa.
- Posible Grupo de Ransomware Rhysida (RaaS) Dirige Entidades Gubernamentales de América Latina con Uso de Parámetros de Línea de Comando Asociados (via process_creation) La regla Sigma de Mehmet Kadir CIRIK detecta parámetros de línea de comando sospechosos utilizados por el ransomware Rhysida.
- Posible Ejecución de Storm-0978 (RomCom) Aprovechando Vulnerabilidad Zero-day de Microsoft Office HTML [CVE-2023-36884] mediante Puertos SMB (via network_connection) La regla Sigma de Nattatorn Chuensangarun detecta actividad sospechosa de Storm-0978 (RomCom) aprovechando la Vulnerabilidad Zero-day en HTML de Microsoft Office (CVE-2023-36884) a través de ataques mediante Puertos SMB.
- Impacto y Actividades de Ejecución del Troyano de Acceso Remoto XWORM Detectados Por Línea de Comando Asociada.[via Process_Creation] La regla Sigma de Phyo Paing Htun puede detectar el impacto y las actividades de ejecución del troyano de acceso remoto XWORM que pueden abusar de la línea de comando para realizar una solicitud POST repetida al host proporcionado y también ejecutar procesos de apagado, reinicio y cierre de sesión.
- Detección Sospechosa de Shell Web Zero-Day de Citrix ADC [CVE-2023-3519] Con Archivos Asociados (via file_event) La regla Sigma de Mustafa Gurkan KARAKAYA detecta posibles archivos de shell web detectados dejando caer a una ruta de archivo sospechosa después de la explotación de la CVE-2023-3519 vulnerabilidad.
Autores Destacados
Nos gustaría reconocer y celebrar a los desarrolladores de Sigma que han estado entregando continuamente ideas excepcionales, contribuyendo a las capacidades de detección de amenazas de las empresas que confían en SOC Prime en sus operaciones de seguridad diarias. En agosto, los siguientes miembros del programa obtuvieron el estatus de autores de Threat Bounty mejor calificados:
¿Deseas unirte a una iniciativa de ingeniería de detección basada en la comunidad y monetizar tus habilidades? No dudes en unirte al Programa Threat Bounty de SOC Prime, donde puedes mejorar tus habilidades de detección y caza de amenazas y convertirte en parte de la comunidad profesional.
