SOC Prime Threat Bounty Digest — Resultados de enero de 2024
Tabla de contenidos:
Contenido de Recompensa de Amenazas
En enero, los miembros del Programa de Recompensa de Amenazas fueron muy activos presentando detecciones para revisión por el equipo de verificación de contenido de SOC Prime. Después de la verificación y examen de las reglas sugeridas, se publicaron 44 detecciones en el Mercado de Detección de Amenazas, aunque algunas reglas requirieron pequeños cambios y fueron devueltas a los autores para correcciones finales.
Como de costumbre, nuestro equipo está abierto a responder preguntas sobre los criterios de aceptación de contenido en el servidor de Discord de SOC Prime. A medida que la Plataforma SOC Prime evoluciona, los criterios de aceptación de contenido también cambian, y es esencial que todos los autores, independientemente de su experiencia con las publicaciones de Recompensa de Amenazas, comprendan qué código de detección se acepta para su publicación. Esto puede ayudar a los autores de contenido a invertir su tiempo en la investigación y desarrollo de reglas de Recompensa de Amenazas de manera más razonable y eficiente.
PRINCIPALES Reglas de Detección de Recompensas de Amenazas
Estas cinco detecciones publicadas en términos del Programa de Recompensa de Amenazas fueron las más populares entre las organizaciones que utilizan la Plataforma SOC Prime para mejorar sus operaciones de seguridad:
Intento de Explotación de Vulnerabilidad de Omisión de Autenticación de Ivanti Pulse Connect Secure [CVE-2023-46805] Sospechoso (via proxy) – una regla Sigma de caza de amenazas por Mustafa Gurkan KARAKAYA detecta posible intento de explotación de vulnerabilidad de omisión de autenticación de Ivanti [CVE-2023-46805] a través de solicitud asociada.
Registro de eventos borrado usando Diagnósticos (vía PowerShell) – regla Sigma de caza de amenazas por Michel de Crevoisier. Esta regla detecta escenarios donde un atacante intenta borrar los registros de eventos.
Posible Acceso Inicial por Explotación de Vulnerabilidad de Ejecución Remota de Código en Ivanti Connect Secure VPN [CVE-2024-21887] (vía servidor web) – regla Sigma de caza de amenazas por Kaan Yeniyol. Esta regla detecta una vulnerabilidad de inyección de comandos en los componentes web de Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), permitiendo a un administrador autenticado enviar solicitudes especialmente diseñadas y ejecutar comandos arbitrarios en el dispositivo.
Carga de DLL Sospechosa Sin Pasar Ningún Parámetro Manipulando la Función de Registro Automático de RegSvr (vía creación de procesos) – detección por Mustafa Gurkan KARAKAYA. Esta regla detecta posible actividad de agregar claves de registro para manipular la función de registro automático de regsvr.
Detectar Distribución de Ransomware a través de TeamViewer (vía cmdline) – la regla de caza de amenazas por Furkan Celik detecta posible distribución inicial de ransomware, que se inicia con un archivo de extensión .bat que se ejecuta desde el escritorio del usuario. Luego se utiliza el proceso rundll32 con el archivo de extensión .bat.
Principales Autores
Las reglas de Recompensa de Amenazas de estos cinco autores fueron las más populares entre los usuarios del Mercado de Detección de Amenazas :
Nattatorn Chuensangarun – 112 detecciones fueron utilizadas por organizaciones que usan SOC Prime, incluyendo 6 reglas publicadas el mes anterior.
Osman Demir – 80 detecciones de este autor fueron utilizadas por los clientes de SOC Prime. Todas las detecciones fueron publicadas anteriormente.
Davut Selcuk – 27 reglas de este autor, incluidas 12 detecciones lanzadas recientemente, fueron utilizadas a través del Mercado de Detección de Amenazas por los usuarios de SOC Prime.
Mustafa Gurkan KARAKAYA – 50 reglas, incluidas ocho detecciones publicadas recientemente, ayudaron a las organizaciones que utilizan SOC Prime a mejorar sus capacidades de detección de amenazas.
Sittikorn Sangrattanapitak – 90 reglas de detección, incluida una detección publicada recientemente, fueron utilizadas por las organizaciones que utilizan SOC Prime.
También nos gustaría mencionar a los autores cuyas detecciones en el Mercado de Detección de Amenazas demuestran el mejor ratio de visualización/descarga, lo que significa que las detecciones son descargadas o desplegadas por los clientes de SOC Prime después de ver el código:
Ccontribuye a la defensa cibernética colectiva con tus propias reglas de detección vía Programa de Recompensa de Amenazas, y recibe recompensas por tu impacto.
