Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024

[post-views]
octubre 08, 2024 · 4 min de lectura
Resumen de Amenazas Bounty de SOC Prime — Resultados de Septiembre 2024

Creación, Envío y Lanzamiento de Contenido de Detección

En septiembre, el Programa de Recompensas por Amenazas experimentó un crecimiento significativo, con más envíos de reglas de detección para verificación y un mayor número de lanzamientos exitosos de las reglas de Recompensas por Amenazas en la Plataforma SOC Prime. Seguimos comprometidos a asegurar que todos los miembros del Programa de Recompensas por Amenazas aprovechen al máximo su acceso al Uncoder AI para monetizar sus habilidades de ingeniería de detección con SOC Prime. 

Apreciamos los esfuerzos de todos los autores de las reglas de detección de amenazas, es importante enfatizar que solo las reglas que pasan la verificación pueden ser publicadas. Reconocemos que algunos miembros del Programa pueden encontrar un poco desafiante adaptar su experiencia con consultas específicas de SIEM a reglas de detección que satisfagan nuestros requisitos, como la lógica de detección compleja y el enfoque en los indicadores de ataque, no en los indicadores de compromiso de bajo nivel. Sin embargo, este desafío impulsa el avance profesional de los miembros del Programa de Recompensas por Amenazas y mejora la efectividad de nuestros esfuerzos colectivos de detección de amenazas. 

A medida que el Programa de Recompensas por Amenazas sigue creciendo, nos emociona reconocer a los miembros del Programa que utilizan hábilmente Uncoder AI. Estos individuos no solo están mejorando sus propias capacidades, sino que también se destacan en el mercado laboral, demostrando competencia en el uso de la tecnología y la metodología que hacen más eficiente la ingeniería de detección. 

Principales Reglas de Septiembre por Autores de Recompensas por Amenazas

Detección de Ejecución de Herramientas Comunes de Administración Remota (RAT)—Regla Sigma por Emanuele De Lucia. Esta regla detecta la ejecución de los RAT más populares (a través de process_creation).

Posible Ejecución de Malware Hadooken al Dejar Caer la Carga Útil para Desplegar Malware Cryptominer Objetivos Aplicaciones Weblogic [Linux] (a través de file_event) by Nattatorn Chuensangarun. Esta regla Sigma detecta actividad sospechosa de Malware Hadooken al desplegar una carga útil maliciosa de elf para desplegar malware Cryptominer.

Configuración sospechosa de Microsoft IIS (Servicios de Información de Internet) vinculada a Campaña de Manipulación de SEO—Regla Sigma de Recompensas por Amenazas por Joseph Kamau. Esta regla detecta cambios en una configuración en II, lo que permite el despliegue exitoso de malware BadIIS en un servidor IIS comprometido debido a las deficiencias del malware (no puede comprimir la salida de los scripts), como se observa en la campaña SEO DragonRank.

Detección de Ejecución de Proxy de Binario Firmado Vinculado a Malware Latrodectus (a través de CmdLine)—Regla Sigma de caza de amenazas por Kyaw Pyiyt Htet. La regla detecta la ejecución de un proxy de binario firmado asociado con el malware Latrodectus, que comúnmente se distribuye a través de campañas de spam por correo electrónico.

Métodos de Mapeo de Certificados Débiles de SChannel Sospechosos (vía evento de registro)—Regla Sigma de caza de amenazas por Sittikorn Sangrattanapitak. Según el autor, esta regla detecta configuraciones de métodos de mapeo de certificados débiles a través de cambios en el registro. Cuando una aplicación de servidor requiere autenticación de cliente, SChannel intenta automáticamente mapear el certificado del cliente a una cuenta de usuario correspondiente. Esto permite la autenticación de usuario a través de certificados de cliente creando mapeos que vinculan la información del certificado a una cuenta de usuario de Windows.

Autores de Recompensas por Amenazas: TOP 5 de Septiembre

En los aspectos destacados de septiembre, reconocemos con orgullo a los cinco principales miembros del Programa de Recompensas por Amenazas cuyas contribuciones a la Plataforma SOC Prime han demostrado un rendimiento excepcional. Sus reglas de detección no solo se destacan por su calidad, sino que también reflejan la confianza depositada en los ingenieros de detección crowdsources por las organizaciones que utilizan la Plataforma SOC Prime. 

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun quien también ha alcanzado el hito de 50 reglas publicadas en 2024 y recibió una credencial digital como Contribuyente Excelente

Davut Selcuk

Emir Erdogan

Osman Demir

Alentamos a todos los miembros del Programa de Recompensas por Amenazas a seguir refinando sus reglas de detección y participando con la comunidad en el servidor de Discord de SOC Prime. Sus contribuciones y avance en habilidades son vitales para mejorar nuestros esfuerzos colectivos de defensa cibernética. Estén atentos para más actualizaciones y oportunidades en el Programa de Recompensas por Amenazas, y recuerden, cada regla que creen es un paso hacia su excelencia. 

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Blog, Plataforma SOC Prime — 5 min de lectura
SOC Prime Resumen de Recompensas de Amenazas — Resultados de Junio 2024
Alla Yurchenko