Resumen de Resultados de SOC Prime Threat Bounty — Septiembre 2023
Tabla de contenidos:
Conoce el nuevo Programa de Amenazas Bounty resumen que cubre las noticias recientes y actualizaciones de la iniciativa de ingeniería de detección colaborativa de SOC Prime.
Envíos de Contenido de Amenazas Bounty
En septiembre, los miembros del Programa de Amenazas Bounty presentaron 629 reglas para revisión por parte del equipo de SOC Prime antes de la publicación para la monetización. Después de la revisión y evaluación de calidad, junto con numerosas iteraciones para mejoras donde fue posible, se aprobaron 90 reglas para su publicación en la Plataforma SOC Prime.
Para asegurar que tanto los desarrolladores de contenido de Amenazas Bounty como la comunidad global de ciberseguridad puedan obtener el máximo valor de la Plataforma SOC Prime, hemos estado introduciendo un conjunto de mejoras en los flujos de trabajo y comunicaciones existentes para el Programa de Amenazas Bounty. Por ejemplo, para asegurar que los cómo se hace sobre desarrollo de contenido de Amenazas Bounty sean conocidos y accesibles para los miembros del Programa, lanzamos un canal dedicado en el servidor de Discord de SOC Prime para compartir conocimientos y experiencias con sus pares.
Así, SOC Prime introduce cambios en los flujos de trabajo actuales, incluyendo comunicación y supervisión por parte del equipo de ingeniería de detección de SOC Prime, aceptación de reglas, proceso de revisión y recompensas. Los cambios introducidos son necesarios para asegurar el desarrollo continuo del Programa de Amenazas Bounty y su madurez, así como para alinear la ingeniería de detección colaborativa con las necesidades de la comunidad para la detección proactiva de amenazas y caza de amenazas.
REGLAS DE DETECCIÓN TOP DE AMENAZAS BOUNTY
Estas son las reglas que ganaron más atención de los clientes existentes de la Plataforma:
- Posible destino de Lokibot en documento de Microsoft Office utilizando vulnerabilidades conocidas mediante la detección de comandos asociados (via process_creation) – una regla Sigma de caza de amenazas por Emre AY. Esta regla detecta la campaña de Lokibot que apunta a documentos de Microsoft Office utilizando vulnerabilidades mediante comandos asociados.
- Posible actividad de la campaña Steal-It para establecer variable de entorno mediante detección de línea de comando asociada (via process_creation) – una regla de caza de amenazas por Mustafa Gurkan KARAKAYA. Esta regla detecta posible ejecución de comandos de una campaña Steal-It para establecer una variable de entorno con una ubicación de archivo sospechosa.
- Ejecución sospechosa de Akira Ransomware mediante la detección de parámetros asociados (via cmdline) – una regla de caza de amenazas por Osman Demir. Esta regla detecta posible campaña de ataque, y el malware que se ejecuta con un parámetro específico realiza actividades de ransomware.
- Posible actividad de enumeración de BlackCat Ransomware (también conocido como ALPHV) mediante la detección de comando de Powershell asociado (via ps_script) – regla de caza de amenazas por Mustafa Gurkan KARAKAYA.
- Posible habilitación del Agente de Escritorio Remoto de Apple para ejecutar código de forma remota y movimiento lateral mediante la detección de comando asociado (via process_creation) – regla de caza de amenazas por Emre AY. Esta regla detecta a los adversarios que intentan habilitar la gestión de escritorio remoto para acceso remoto al sistema objetivo para todos los usuarios con todos los privilegios mediante la ejecución de un comando kickstart.
Autores Principales
Estos autores de reglas de detección de Amenazas Bounty han ganado tradicionalmente la mayor interacción con su contenido por parte de los usuarios de la Plataforma:
Animamos a los desarrolladores entusiastas de reglas de detección de SIEM a unirse al Programa de Amenazas Bounty de SOC Prime y contribuir a la defensa cibernética colectiva mientras crean un portafolio personal con el líder del mercado y crecen profesionalmente en la comunidad global de ciberseguridad.
