SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Tabla de contenidos:
Envío y liberación de contenido de detección
En junio, los miembros del Programa de Recompensas por Amenazas de SOC Prime comenzaron a usar Uncoder AI para crear, validar y enviar reglas para revisión antes de la liberación en la Plataforma SOC Prime. Nos complace ofrecer a los autores la herramienta que les ayuda a crear reglas de detección de alta calidad para Recompensas por Amenazas y apoya su avance profesional. Nuestro equipo está comprometido a equipar a los ingenieros de detección, especialistas en DFIR y analistas SOC con las mejores tecnologías para impulsar sus habilidades técnicas y analíticas, superar desafíos del mundo real y alinear sus antecedentes profesionales con las necesidades de la industria, mientras recompensamos a los autores que participan activamente en la iniciativa de ingeniería de detección colaborativa de SOC Prime. Descubre más sobre la evolución del Programa de Recompensas por Amenazas en este artículo.
En junio, los miembros del programa publicaron exitosamente 24 nuevas reglas de detección únicas de Recompensas por Amenazas capaces de identificar comportamientos maliciosos. Con la ayuda de la validación incorporada, los autores de contenido mejoraron su comprensión de la sintaxis Sigma, lo que les ayudó a evitar errores comunes en el futuro. El equipo de verificación observa la mejora constante en las reglas enviadas para cumplir con los criterios de aceptación de sumisiones de Recompensas por Amenazas.
Los comentarios proporcionados por el equipo de SOC Prime durante el proceso de verificación de contenido ayudaron a alinear los esfuerzos posteriores dedicados a la investigación y creación de reglas con la necesidad de contenido accionable para detectar comportamientos maliciosos. El equipo de verificación ha recibido más reglas que cumplen con los criterios de aceptación de Recompensas por Amenazas.
Las funcionalidades de Uncoder AI, que incluyen un repositorio de contenido privado dentro de la Plataforma SOC Prime, están disponibles para todos los miembros del Programa de Recompensas por Amenazas, y los animamos a usar activamente la herramienta para su desarrollo personal y profesional y para trabajar con varios tipos de contenido y formatos. Sin embargo, todavía solo aceptamos reglas de detección que cumplan con los requisitos del Programa, por lo que recomendamos a los autores que deseen monetizar sus reglas de detección que sigan los requisitos cada vez que deseen publicar su regla para monetización en la Plataforma SOC Prime.
Principales Reglas de Detección de Recompensas por Amenazas
Las siguientes detecciones de Recompensas por Amenazas fueron las más referidas por las compañías que aprovechan SOC Prime:
Posible Detección de la Herramienta de Explotación Black Basta Usando la Vulnerabilidad de Escalamiento de Privilegios de Windows para Persistencia (CVE-2024-26169) (a través de registry_set) – regla de caza de amenazas Sigma por Davut Selcuk que detecta el uso de una herramienta de explotación asociada con el grupo de ransomware Black Basta, que aprovecha una vulnerabilidad de escalamiento de privilegios de Windows (CVE-2024-26169) en el Servicio de Reporte de Errores de Windows para ganar persistencia. El grupo de ciberdelincuencia Cardinal (también conocido como Storm-1811, UNC4393) ha sido vinculado a la explotación de esta vulnerabilidad como un día cero. La herramienta de explotación aprovecha el hecho de que el archivo de Windows werkernel.sys usa un descriptor de seguridad nulo al crear claves de registro.
Posible Detección de Ejecución del Backdoor WARMCOOKIE Vinculada a Una Ejecución Sospechosa de rundll32.exe Comandos Asociados (a través de process_creation) – regla de caza de amenazas Sigma por Davut Selcuk que ayuda a detectar la ejecución sospechosa de rundll32.exe que está asociada con el backdoor WARMCOOKIE. WARMCOOKIE es un backdoor utilizado por actores de amenazas para infiltrar y comprometer sistemas, comúnmente entregado a través de campañas de phishing con temas de reclutamiento. Emplea rundll32.exe para ejecutar cargas maliciosas almacenadas en directorios temporales, apuntando a la persistencia y control remoto.
Posible Actividad de Ransomware ShrinkLocker para Abusar de Microsoft Bitlocker mediante la Modificación de la Clave de Registro Asociada (a través de registry_event) – la regla de caza de amenazas Sigma por Emre Ay detecta el comportamiento del ransomware Shrinklocker que intenta modificar un valor de registro, lo que le permite abusar de Microsoft Bitlocker.
Vulnerabilidad de Traversal de Directorios Serv-U-FTP de SolarWinds (CVE-2024-28995) – regla de caza de amenazas Sigma por Emir Erdogan. Esta regla identifica intentos de explotación de la Vulnerabilidad de Traversal de Directorios Serv-U-FTP de SolarWinds con la ayuda de logs del servidor web.
Ejecución de Comando Sospechoso de Ransomware STOP mediante Detección de la Línea de Comando Asociada (a través de process_creation) – regla de caza de amenazas Sigma por Emre Ay detecta comandos sospechosos relacionados con el Ransomware STOP/DJVU que pretenden iniciar su actividad maliciosa utilizando comandos asociados.
Principales Autores
Las reglas de detección de Recompensas por Amenazas de estos autores fueron las más populares en la Plataforma en julio:
Además, Emir Erdogan recibió una insignia digital como Contribuidor de Confianza en reconocimiento de su contribución a la Plataforma SOC Prime este año.
Si deseas seguir el éxito de los autores que SOC Prime reconoce regularmente por sus envíos, por favor lee la entrevista perspicaz con Kyaw Pyiyt Htet reconocido como uno de los principales 20 contribuyentes de SOC Prime.
Mejora tus habilidades usando Uncoder AI como tu IDE para la ingeniería de detección, y monetiza tus habilidades mediante publicaciones en la Plataforma SOC Prime con el Programa de Recompensas por Amenazas.
