Informe de Recompensas por Amenazas de SOC Prime — Resultados de Diciembre 2023
Tabla de contenidos:
Aceptación de Contenido de Recompensa de Amenazas
Desde el lanzamiento del Programa de Recompensa de Amenazas, SOC Prime ha estado proporcionando ingenieros de detección habilidosos y entusiastas para alinear sus habilidades con la demanda actual y en tiempo real de contenido de detección de amenazas. Durante el año 2023, continuamos alineando los esfuerzos de los miembros de Recompensa de Amenazas con la evolución de la Plataforma, lo que resultó en algunos cambios en los criterios de aceptación del contenido. A saber, seguimos estrictamente los procedimientos de verificación de contenido y las pautas de publicación para las reglas que se basan en los IOC de bajo nivel, reglas diseñadas para activar alertas basadas en alertas de otras soluciones de seguridad y reglas que tienen aplicabilidad o adaptabilidad limitada — lo que se refiere como una “baja resiliencia para uso a largo plazo en la Plataforma SOC Prime”. En SOC Prime, estamos seguros de que este esfuerzo colectivo y el intercambio de comentarios fomentan el desarrollo de habilidades profesionales que son vitales en la industria de ciberseguridad en estos días.
Esperamos que todos los miembros del Programa de Recompensa de Amenazas tengan en cuenta las reglas de aceptación de contenido y presten atención a las recomendaciones generales que reciben sobre mejoras de contenido o como razón para el rechazo de la publicación.
Las Mejores Reglas de Detección de Recompensa de Amenazas del Mes
Las siguientes detecciones por desarrolladores de Recompensa de Amenazas en la Plataforma SOC Prime fueron las más populares:
Posible Detección de Persistencia por APT38/Lazarus Group de Corea del Norte vía Detección de Parámetros de Línea de Comando Asociados (vía process_creation) – regla de caza de amenazas por Davut Selcuk que identifica posibles indicadores de persistencia por el APT38/Lazarus Group de Corea del Norte, aprovechando la detección de parámetros de línea de comando asociados.
Posible Ejecución de Código VBA Malicioso en Documentos Excel o Word mediante Detección de Comandos Asociados (vía ps_script) – regla de caza de amenazas por Emre Ay que detecta a los actores de amenazas que intentan ejecutar código VBA malicioso en documentos Excel o Word utilizando comandos de PowerShell sospechosos.
Cambio Sospechoso de Clave del Registro de la Actividad de Malware DarkGate (vía registry_event) – regla de caza de amenazas por Davut Selcuk que detecta cambios en las claves del registro asociadas con DarkGate.
Posible Ejecución de Malware Agent Racoon mediante el Uso de Complementos de PowerShell para Exfiltrar Correos en Entornos de MS Exchange con Bloque de Script de PowerShell – regla de caza de amenazas por Nattatorn Chuensangarun detecta actividad sospechosa de malware Agent Racoon usando el complemento de PowerShell para ejecutar archivos PST maliciosos dentro del directorio del sistema IIS (inetsrv) para exfiltraciones de correo en entornos de MS Exchange.
Posible Actividad Amenazante de Ransomware ESXi en Todas las VM y Eliminación de Sus Snapshot vía VIM-CMD – regla de caza de amenazas por Kaan Yeniyol detecta la eliminación de snapshots y máquinas virtuales en dispositivos ESXi utilizando el comando VMSVC. Los grupos de ransomware, al comprometer sistemas ESXi, eliminan snapshots asociados a dispositivos y cifran archivos.
Principales Autores del Mes
Aunque a veces los miembros de Recompensa de Amenazas cesan sus actividades con el Programa y ya no tienen los privilegios como autores activos de Recompensa de Amenazas, sus detectores aún permiten a las empresas que utilizan SOC Prime resistir las amenazas cibernéticas:
Los siguientes autores han demostrado una contribución destacada con su contenido de detección que pasó la verificación de calidad del Equipo SOC Prime:
Manténgase al tanto de las noticias, actualizaciones y discusiones comunitarias para ser de los primeros en enterarse de los próximos cambios en el Programa de Recompensa de Amenazas, y no dude en permitir que las empresas de todo el mundo se defiendan contra amenazas emergentes con sus detecciones de Recompensa de Amenazas impulsadas por las innovaciones de SOC Prime.
