Informe SOC Prime Threat Bounty — Resultados de Octubre 2023

Descubra qué hay de nuevo en el programa Threat Bounty de SOC Prime y los resultados de octubre.

Envíos de Contenido de Threat Bounty

Estamos contentos de que los autores de las reglas de Threat Bounty inviertan su tiempo en validar sus detecciones con Warden y en investigar detecciones existentes, lo que les ayuda a evitar duplicados mientras crean y envían reglas para monetización. En octubre, el equipo de SOC Prime recibió 477 reglas para verificación antes de la publicación en la Plataforma SOC Prime. Después de la validación y evaluación estándar, 90 reglas fueron aprobadas para publicación.

Explorar Detecciones

El Programa Threat Bounty da la bienvenida a nuevos autores de contenido entusiastas en estos días, y los invitamos a todos a unirse al servidor de Discord de SOC Prime y a los canales privados dedicados para discusiones sobre Threat Bounty. Además, para asegurar que todos los nuevos miembros conozcan los criterios de aceptación de contenido y los estándares de SOC Prime, alentamos a todos los autores a ver los webinars de SOC Prime y leer nuestro blog. 

TOP Reglas de Detección de Threat Bounty

Estas detecciones enviadas por los miembros de Threat Bounty fueron las más demandadas por organizaciones que utilizan la Plataforma SOC Prime:

1. Modificación Suspicious de Clave de Registro para la Detección de Ataque de Reinicio Rápido HTTP/2 (CVE-2023-44487) (vía registry_event) regla Sigma para caza de amenazas por Davut Selcuk detecta potencial actividad de Ataque de Reinicio Rápido HTTP/2 relacionado con CVE-2023-44487.
2. Posible Intento de Explotación de CVE-2023-42793 (Evasión de Autenticación que Conduce a RCE en JetBrains TeamCity Server) (vía proxy) regla Sigma para caza de amenazas por Aykut Gürses identifica posible intento de explotación de CVE-2023-42793 (Evasión de Autenticación que Conduce a RCE en JetBrains TeamCity Server), que puede ser parte de la cadena RCE de TeamCity. Basado en POC disponible públicamente.
3. Posible Intento de Explotación de CVE-2023-40044 (Fallos Críticos de RCE Pre-Auth en WS_FTP Server) (vía proxy) regla Sigma para caza de amenazas por Aykut Gürses está basado en POC disponible públicamente e identifica posibles intentos de explotación de CVE-2023-40044 (Fallos Críticos de RCE Pre-Auth en WS_FTP Server), que puede ser parte de la cadena RCE de TeamCity.
4. Actividad de Enumeración Sospechosa Para Encontrar Usuario Habilitado con Comando Powershell Asociado a Cifrado de Contraseña Reversible (vía ps_script) regla Sigma para caza de amenazas por Mustafa Gurkan KARAKAYA detecta posible actividad de enumeración para descubrir usuarios habilitados con la función de cifrado de contraseña reversible en Active Directory. Los atacantes pueden intentar identificar usuarios con esta función e intentar obtener su información de contraseña en texto plano.
5. Posible Intento de Explotación de CVE-2023-40044 Módulo IIS de WS_FTP y Transferencia Ad Hoc (vía servidor web) regla Sigma para caza de amenazas por Sittikorn Sangrattanapitak detecta posibles intentos de explotación contra la vulnerabilidad de Ejecución Remota de Código (RCE) CVE-2023-40044 en WS_FTP.

Autores Destacados

Basado en cómo los usuarios de la Plataforma SOC Prime aprovecharon el contenido de detección disponible en la Plataforma, las detecciones de estos autores fueron las más demandadas:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Emir Erdogan

¿Tienes curiosidad por publicar tus propias detecciones en la Plataforma SOC Prime? Únete al Programa Threat Bounty y ayuda a las empresas en todo el mundo a resistir las amenazas cibernéticas.