SOC Prime Threat Bounty Digest — Resultados de Febrero de 2024
Tabla de contenidos:
Publicaciones de Amenazas Bounty
En febrero, los miembros del programa Threat Bounty presentaron más de 350 detecciones para revisión por parte del Equipo de SOC Prime. Después de la revisión por parte del equipo de verificación de contenido, 70 reglas fueron publicadas con éxito en la Plataforma SOC Prime. Durante la verificación, el Equipo de SOC Prime proporcionó más de 400 explicaciones de rechazo de contenido y recomendaciones para mejorar las reglas donde fue posible. Es importante que los autores comprendan que todas las reglas se revisan una por una, comenzando por las que se recibieron primero para revisión, y cualquier cambio en la regla, incluidas las correcciones, inicia automáticamente una nueva iteración de verificación de reglas.
Nos complace haber conversado con el miembro de Threat Bounty Phyo Paing Htun, lo que resultó en una perspicaz entrevista en el Blog de SOC Prime, y un video corto donde Phyo Paing Htun comparte su experiencia y enfoques para crear reglas para la publicación de Threat Bounty.
Noticias de Threat Bounty
Estamos emocionados de anunciar la próxima introducción de credenciales digitales por parte del Programa Threat Bounty de SOC Prime con Credly de Pearson. Las credenciales digitales representan un paso significativo hacia adelante en el reconocimiento de la dedicación y el conocimiento de los miembros de la comunidad de Threat Bounty, proporcionándoles un símbolo tangible de sus logros desde el lanzamiento de la iniciativa Threat Bounty, así como el reconocimiento de sus logros actuales. Manténganse atentos mientras nos embarcamos en este viaje para celebrar y empoderar a los autores de reglas de detección dentro del Programa Threat Bounty.
REGLAS DE DETECCIÓN PRINCIPALES DE THREAT BOUNTY
Las siguientes cinco reglas de detección fueron las más demandadas entre las organizaciones que utilizan la Plataforma SOC Prime para mejorar sus capacidades de detección de amenazas:
Posible Explotación (CVE-2023-46805 / CVE-2024-21887) de Vulnerabilidades de Omisión de Autenticación y Ejecución de Comandos en Ivanti Connect Secure (a través de servidor web) – regla de caza de amenazas Sigma por Davut Selcuk que detecta la posible explotación de las vulnerabilidades de Ivanti Connect Secure (CVE-2023-46805 y CVE-2024-21887) relacionadas con la omisión de autenticación y ejecución de comandos.
Posible Acceso Inicial por Explotación de Vulnerabilidad de Ejecución Remota de Código en Microsoft Outlook (MonikerLink) [CVE-2024-21413] – regla de caza de amenazas por Kaan Yeniyol que detecta ejecución remota de código y ataques de credenciales NTLM en Microsoft Outlook (CVE-2024-21413). Esta vulnerabilidad puede llevar a la fuga local de credenciales NTLM y ejecución de código cuando los atacantes abren correos electrónicos con enlaces maliciosos.
Intento de Explotación de Vulnerabilidad de Omisión de Autenticación de Ivanti Pulse Connect Secure [CVE-2023-46805] (a través de proxy) – regla de caza de amenazas Sigma por Mustafa Gurkan KARAKAYA detecta un posible intento de explotación de la vulnerabilidad de omisión de autenticación de Ivanti [CVE-2023-46805] a través de la solicitud asociada.
Posible Acceso Inicial por Explotación de Vulnerabilidad de Ejecución Remota de Código en Ivanti Connect Secure VPN [CVE-2024-21887] (a través de servidor web) – regla de caza de amenazas por Kaan Yeniyol que detecta una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), permitiendo a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Posible Escalada de Privilegios a través de TrustedInstaller para el Volcado de Lsass mediante Detección de Comandos Asociados (a través de creación_de_proceso) – regla de caza de amenazas Sigma por Davut Selcuk que identifica posibles intentos de escalada de privilegios mediante la detección de actividades relacionadas con la desactivación de SeDebugPrivilege. Específicamente se enfoca en técnicas que utilizan la cuenta TrustedInstaller para eludir las restricciones de privilegios, permitiendo el volcado de memoria usando herramientas como ProcDump para lsass.exe.
Autores Destacados
Las reglas de detección de Threat Bounty de estos autores fueron mayormente interesantes y útiles para las empresas que utilizan la Plataforma SOC Prime en sus operaciones de seguridad diarias:
Davut Selcuk – publicó 25 nuevas reglas en febrero, y un total de 58 de sus detecciones, incluidas las reglas que se publicaron previamente, fueron usadas por compañías clientes de SOC Prime.
Emre Ay publicó 12 nuevas reglas, y las empresas en la Plataforma SOC Prime descargaron un total de 38 de sus detecciones.
Sittikorn Sangrattanapitak – 58 reglas únicas, incluidas 6 reglas publicadas durante febrero, fueron descargadas.
Nattatorn Chuensangarun – 45 detecciones, incluidas 4 reglas publicadas en febrero, fueron descargadas por compañías a través de la Plataforma SOC Prime.
Osman Demir – 40 reglas de detección, incluida una publicada en febrero, fueron descargadas, y los resultados se incluyeron en los resultados de febrero de Threat Bounty.
No dudes en unirte al Programa Threat Bounty y contribuir a la iniciativa colectiva de ingeniería de detección que permite a las compañías de todo el mundo hacer frente a las amenazas emergentes, y mantén tu enfoque en la ingeniería de detección para casos reales que aborden la demanda actual de las organizaciones a nivel mundial.
