SOC Prime Resumen de Amenazas del Programa Bounty — Resultados de Noviembre 2023

Contenido de Threat Bounty

Continuamos alineando los esfuerzos con Programa Threat Bounty miembros para enriquecer la Plataforma de SOC Prime con contenido de detección procesable para reglas de detección de comportamientos. En el cambiante panorama de amenazas actual, los profesionales de seguridad que aprovechan la Plataforma de SOC Prime para defender sus entornos corporativos dependen del contenido de SIEM capaz de detectar patrones de comportamiento y utilizan Uncoder IA como un IDE para el desarrollo interno de contenido o análisis ad-hoc de IOCs en consultas específicas procesables de SIEM o EDR.

Explorar Detecciones

En vista de esto, los requisitos y los criterios de aceptación para las detecciones de Threat Bounty que se presentan para un cambio de monetización en la Plataforma de SOC Prime sirven como medidas esenciales para garantizar la calidad de las reglas de detección presentadas. Por ejemplo, existen estándares estrictos para la aceptación de reglas de Threat Bounty para asegurar que las detecciones publicadas mantengan eficiencia y capacidad de operación y proporcionen una continua dependencia dentro de los entornos operacionales de las empresas que utilizan la Plataforma de SOC Prime.

Principales Reglas de Detección de Threat Bounty

Las siguientes reglas publicadas en la Plataforma de SOC Prime a través del Programa Threat Bounty han suscitado mayor interés entre los usuarios de la Plataforma:

1. Regla Sigma de caza de amenazas El Grupo de Ransomware (RaaS) Rhysida ataca a Instituciones Gubernamentales de América Latina mediante el Uso de Parámetros de Línea de Comando Asociados (via process_creation) by Mehmet Kadir CIRIK. Esta regla detecta parámetros sospechosos de línea de comando utilizados por el Ransomware Rhysida.
2. Cambio Sospechoso de Clave de Registro de Actividad de Malware DarkGate (via registry_event) regla sigma de caza de amenazas por Davut Selcuk. Esta regla detecta cambios en claves de registro asociadas con DarkGate, un cargador con capacidades RAT vendido como Malware-as-a-Service (MaaS).
3. Ejecución Sospechosa de Ransomware LockBit 3.0 por Detección de Comandos Asociados (via cmdline) by Osman Demir. Esta regla sigma de caza de amenazas detecta posible ransomware LockBit 3.0 distribuido mientras se disfraza de correos electrónicos de solicitud de empleo.
4. Posible Actividad de Descubrimiento de Sistema Remoto en Linux por Detección de Comando Asociado (via process_creation)  regla sigma de caza de amenazas por Emre Ay. Esta regla detecta comportamiento malicioso cuando los adversarios intentan mostrar una tabla ARP para hosts que comparten el mismo segmento de red en un sistema Linux.
5. Obtención Sospechosa de Valor Secreto en Texto Plano desde Azure KeyVault mediante Detección de Comando Asociado (via process_creation) regla sigma de caza de amenazas por Mustafa Gurkan KARAKAYA detecta posible obtención de valor secreto de Azure Keyvault como texto plano a través de comando asociado.

Autores Principales

Las reglas de detección creadas por estos autores de contenido de Threat Bounty recibieron las mejores calificaciones basadas en las actividades de los usuarios de la Plataforma que utilizan Mercado de Detección de Amenazas:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

Davut Selcuk

¿Te gustaría convertirte en miembro Programa Threat Bounty y ayudar a empresas de todo el mundo a defenderse contra amenazas cibernéticas con tus propias reglas de detección?