SOC Prime Informe de Recompensas de Amenazas — Resultados de diciembre de 2024
Tabla de contenidos:
Creación de Contenido de Detección, Presentación y Lanzamiento
Diciembre fue otro mes impresionante para el Programa de Recompensas de Amenazas, con la comunidad mostrando un espíritu colaborativo y habilidades de ingeniería de detección.
A pesar del ajetreo de fin de año, los miembros del Programa continuaron presentando activamente detecciones para abordar amenazas emergentes. En total, 33 nuevas reglas de detección fueron lanzadas exitosamente en la Plataforma SOC Prime después de ser validadas por el equipo de expertos de SOC Prime.
Cambios Continuos y Mejoras del Programa
A partir de enero de 2025, hemos suspendido temporalmente la aceptación de nuevas detecciones del Programa de Recompensas de Amenazas. Mientras las actividades del Programa de Recompensas de Amenazas están en pausa, estamos trabajando en varias mejoras para la Plataforma SOC Prime que apuntan a mejorar la experiencia general para todos los usuarios y extender las oportunidades para los miembros del Programa de Recompensas de Amenazas, incluyendo la presentación de contenido en diferentes formatos y maneras adicionales de monetizar su trabajo. Ver detalles aquí.
Mientras tanto, los miembros de la comunidad SOC Prime pueden explorar los planes de membresía para usuarios individuales e incorporar algunas de las funcionalidades premium de la plataforma en sus proyectos de ingeniería de detección.
Principales Reglas de Diciembre por Autores del Programa de Recompensas de Amenazas
Durante el último mes del año, las siguientes reglas de detección ganaron la mayor popularidad entre las empresas que usan SOC Prime para mejorar sus operaciones de ciberseguridad:
Uso de Rundll32 para Explotación LOLBin (vía process_creation) by Bogac KAYA. Esta regla detecta la ejecución de rundll32 aprovechando windows.storage.dll para invocar ShellExec_RunDLL.
Posible Intento de Escalada de Privilegios Para Obtener Usuario SYSTEM Con Comando PowerShell Como Módulo (vía ps_script) by Mustafa Gurkan KARAKAYA. Esta regla detecta un posible comando malicioso que puede usarse para crear una tarea programada, ejecutar un comando en un servidor remoto, iniciar un trabajo con una cuenta gMSA específica, y realizar todas estas acciones con privilegios de SYSTEM.
Ejecución Sospechosa de TA4557/FIN6 Invocando el Malware More_Eggs a través del Servicio de Host del Proveedor WMI (vía process_creation) by Nattatorn Chuensangarun – esta regla detecta actividad sospechosa TA4557/FIN6 liberando archivos DLL maliciosos para desplegar el malware More_Eggs a través del servicio de alojamiento del proveedor WMI.
Posible Actividad de Persistencia del Grupo APT35 Creando una Clave de Registro RunKey Sospechosa (vía registry_event) by Emre Ay. Esta regla detecta la creación sospechosa de una clave de registro runkey relacionada con el grupo APT35 que intenta mantener la persistencia en el sistema de la víctima y cargar silenciosamente el programa malicioso.
Posible Actividad de Persistencia del Ransomware BlackCat Creando una Tarea Programada Sospechosa (vía process_creation) by Emre Ay. Esta regla detecta la ejecución de schtasks con un parámetro taskrun sospechoso para mantener la persistencia en el sistema de la víctima y ejecutar el malware.
Autores del Programa de Recompensas de Amenazas: TOP 5 de Diciembre
Estos autores obtuvieron la calificación más alta por sus reglas del Programa de Recompensas de Amenazas:
A medida que el Programa de Recompensas de Amenazas evoluciona, su misión principal sigue siendo la misma: habilitar la colaboración, la innovación y el impacto dentro de la industria de ciberseguridad y mejorar la defensa cibernética global. Estamos agradecidos con los autores del Programa de Recompensas de Amenazas que han estado codo a codo haciendo este inmenso impacto en el fortalecimiento de las defensas del mundo contra los ciberataques.
¡Mantente atento para más noticias y actualizaciones!
