Digest de Recompensas de Amenazas de SOC Prime — Resultados de marzo de 2024

Publicaciones de recompensas por amenazas

En marzo de 2024, se publicaron con éxito 40 reglas de detección en la Plataforma de SOC Prime a través del Programa de Recompensas por Amenazas después de la revisión de nuestro Equipo de Contenidos. Aunque observamos una mejora general en la calidad de las propuestas, también hay algunos conceptos erróneos típicos que pueden reconocerse en los enfoques para la publicación de contenido por parte de muchos autores. Hoy, nos gustaría compartir esta información contigo, esperando que ayude a los contribuyentes de contenido de Recompensas por Amenazas a lograr más publicaciones exitosas.

Las reglas de detección basadas específicamente en los IOCs proporcionados en algunas publicaciones de blog, artículos, boletines, etc., no son las reglas que SOC Prime espera de los miembros de Recompensas por Amenazas como contribución para la publicación. Cuando se trata de ingeniería de detección colaborativa, queremos ver más contenido de herramientas y reglas de detección relacionadas con aspectos de correlación de comportamientos específicos.

Para un inicio fluido con las publicaciones, nuestro equipo recomienda que los miembros del Programa sigan las pautas descritas en la sección de preguntas frecuentes de Recompensas por Amenazas del centro de ayuda de SOC Prime. Si sientes que también necesitas algunas pautas con un enfoque práctico, te invitamos a ver los seminarios web de SOC Prime, especialmente aquellos centrados en Sigma y la Caza de Amenazas, y el Programa de Recompensas por Amenazas.

Además, el próximo seminario web, que fue anunciado recientemente en Discord de SOC Prime, se centrará en las luchas comunes de aquellos que acaban de comenzar a escribir reglas para Recompensas por Amenazas y proporcionará pautas para los autores que estén interesados y motivados para mejorar su tasa de aceptación y el número promedio de publicaciones exitosas. Estamos abiertos a preguntas, sugerencias e historias de experiencia personal con las publicaciones de Recompensas por Amenazas; si tienes algo que compartir, háznoslo saber en Discord. Mantente atento para más actualizaciones sobre la fecha y hora del seminario web.

REGLAS DE DETECCIÓN PRINCIPALES DE RECOMPENSAS POR AMENAZAS

Las siguientes reglas que fueron publicadas en la Plataforma de SOC Prime a través del Programa de Recompensas por Amenazas suscitaron el mayor interés entre los usuarios de la Plataforma durante marzo de 2024:

1. Posible Despliegue de Minero de Criptomonedas con Comandos de Persistencia en Post-Explotación de ScreenConnect (CVE-2024-1709 & CVE-2024-1708) (vía process_creation) – Regla Sigma de Caza de Amenazas por Davut Selcuk detecta un posible despliegue de minero de criptomonedas y comandos de persistencia durante actividades de post-explotación a través de ScreenConnect. Puede identificar secuencias de comandos específicas que involucran schtasks.exe creando tareas programadas que contienen SentinelUI.exe.
2. Detección de Creación de Archivos Sospechosos Vinculados al Grupo APT Water Hydra Explotando el Zero-Day de Microsoft Defender SmartScreen (CVE-2024-21412) (vía file_event) – Regla Sigma de Caza de Amenazas por Davut Selcuk detecta la creación de archivos sospechosos por el grupo APT Water Hydra, quienes explotan la vulnerabilidad de Microsoft Defender SmartScreen (CVE-2024-21412) en campañas dirigidas a comerciantes del mercado financiero.
3. Actividad de Persistencia Sospechosa del Malware TinyTurla Por el Grupo de Espionaje Ruso vía Línea de Comandos Asociada (vía process_creation) – Regla Sigma de Caza de Amenazas por Mustafa Gurkan KARAKAYA detecta posible actividad de persistencia del malware TinyTurla creando un servicio asociado mediante la adición de una clave de registro.
4. Posible Actividad de Persistencia del Ransomware RA World a Través de la Creación de Servicio Sospechoso (vía seguridad) – Regla Sigma de Caza de Amenazas por Mustafa Gurkan KARAKAYA detecta posible actividad de persistencia del Ransomware RA World mediante la creación de un servicio asociado.
5. Posible Acceso Inicial por Explotación de la Vulnerabilidad de Ejecución Remota de Código en Microsoft Outlook (MonikerLink) [CVE-2024-21413] – Regla Sigma de Caza de Amenazas por Kaan Yeniyol detecta posible ejecución remota de código y ataques de credenciales NTLM en Microsoft Outlook (CVE-2024-21413).

Principales Autores

Aunque todavía estamos en el proceso de recopilar y validar toda la información necesaria para el pago de recompensas, me gustaría compartir la lista de los cinco principales autores de Recompensas por Amenazas del mes. Durante marzo, los usuarios del Mercado de Detección de Amenazas consultaron más las reglas de detección de estos cinco autores, entre otros autores de reglas de detección de Recompensas por Amenazas:

Nattatorn Chuensangarun

Davut Selcuk

Sittikorn Sangrattanapitak

Emre Ay

Mustafa Gurkan KARAKAYA

Además, a principios de esta semana, cinco miembros del Programa de Recompensas por Amenazas recibieron insignias de reconocimiento de SOC Prime como prueba de sus valiosas contribuciones y el logro de diez publicaciones exitosas de sus reglas de detección de amenazas en 2024. Encuentra más sobre las insignias de Recompensas por Amenazas y los premios recientes en este artículo. 

Invitamos a personas capacitadas y motivadas que estén interesadas en desarrollar sus habilidades de ingeniería de detección y ganar dinero con sus contribuciones a postular para participar en el Programa de Recompensas por Amenazas!