Resumen del Programa de Recompensas por Amenazas — Resultados de Mayo 2024
Tabla de contenidos:
Publicaciones
En mayo, nuestro equipo de verificación de contenido recibió más de 300 envíos para revisión. Después de la revisión, y en algunos casos, revisiones repetidas con correcciones menores al código, se publicaron con éxito 59 nuevas reglas de detección de amenazas únicas por Programa de Recompensas por Amenazas autores de contenido en el Mercado de Detección de Amenazas.
Las solicitudes que fueron rechazadas no cumplieron con los criterios de aceptación para publicación. Queremos recordar a todos los miembros del Programa de Recompensas por Amenazas que planean publicar su contenido en la Plataforma SOC Prime para monetización, que consideren los requisitos de contenido al crear y enviar sus reglas de Recompensas por Amenazas.
Las reglas de detección que no pueden usarse efectivamente para la detección de amenazas de comportamiento en condiciones del mundo real en los entornos de producción de empresas no son aceptadas para su publicación por SOC Prime. Para mantener el nivel de profesionalismo de nuestros autores activos de Recompensas por Amenazas alineado con la demanda actual de algoritmos de detección de amenazas de comportamiento accionables, hablamos sobre nuestros estándares y tecnologías en los seminarios web y talleres de SOC Prime y recomendamos seguir nuestras actividades para mantenerse informado y desarrollar sus habilidades profesionales e intereses en consecuencia.
Principales Reglas de Detección de Recompensas por Amenazas
Estas cinco reglas de detección publicadas por miembros del Programa de Recompensas por Amenazas demostraron el mejor ajuste para la demanda de las organizaciones que utilizan la Plataforma SOC Prime para mejorar sus operaciones de seguridad:
Actividad de Ejecución de Malware IcedID (alias Latrodectus [IceNova]) Sospechosa por Detección de Comandos Asociados (vía process_creation) – regla Sigma de búsqueda de amenazas por Davut Selcuk tiene como objetivo identificar actividades de ejecución sospechosas relacionadas con el malware IcedID (alias Latrodectus [IceNova]) mediante el monitoreo de eventos de creación de procesos.
Posible Actividad del Ransomware ShrinkLocker para Abusar de Microsoft Bitlocker mediante la Modificación de la Clave del Registro Asociada (vía registry_event) – la regla Sigma de búsqueda de amenazas por Emre Ay detecta el comportamiento del ransomware Shrinklocker que intenta modificar un valor del registro, lo que le permite abusar de Microsoft Bitlocker.
Actividad de Ejecución de Malware Latrodectus (IceNova) Sospechosa Detectada por rundll32.exe (vía process_creation) – regla Sigma de búsqueda de amenazas por Davut Selcuk que detecta actividades de ejecución sospechosas asociadas con el malware Latrodectus (IceNova) aprovechando rundll32.exe para la ejecución.
Posible Actividad de Modificación de Clave de Registro del Ransomware ShrinkLocker para Abusar de Bitlocker (vía registry_event) – regla Sigma de búsqueda de amenazas por Emre Ay detecta la modificación sospechosa de la clave del registro asociada realizada por el ransomware ShrinkLocker para abusar del valor del registro relacionado con BitLocker.
Actividad de C2 Maliciosa Sospechosa de ‘MuddyWater contra un objetivo en Medio Oriente’ Por Detección de CommandLine de PowerShell – regla Sigma de búsqueda de amenazas por Aung Kyaw Min Naing. Esta regla detecta la ejecución maliciosa de powershell por MuddyWater contra un objetivo en Medio Oriente para abusar de la clave del registro AutodialDLL y cargar DLL para el marco C2.
Autores Principales
Los siguientes colaboradores de reglas de detección de amenazas colaborativas al Programa de Recompensas por Amenazas alcanzaron las posiciones de calificación más altas por sus contribuciones, basadas en cómo sus detecciones de Recompensas por Amenazas fueron utilizadas por organizaciones a través de la Plataforma SOC Prime:
Dos autores de reglas de detección de Recompensas por Amenazas, Joseph Kamau and Bogac Kaya, alcanzaron el hito de 10 publicaciones exitosas este año y son reconocidos como Contribuyentes Confiables de SOC Prime.
Próximos cambios
Los cambios en las herramientas del Programa de Recompensas por Amenazas que se describieron en los digestos mensuales anteriores estarán disponibles pronto. En concreto, los miembros del Programa de Recompensas por Amenazas comenzarán a utilizar Uncoder AI para sus publicaciones de Recompensas por Amenazas y seguimiento del progreso. El Portal del Desarrollador, así como el Bot de Sigma Rules de Slack, ya no serán compatibles y no se utilizarán para el Programa de Recompensas por Amenazas. Las directrices para los usuarios estarán disponibles en el Centro de Ayuda de SOC Prime, y los miembros del programa podrán probar la nueva herramienta para enviar sus detecciones una vez que Uncoder AI esté listo para su uso en las reglas de Recompensas por Amenazas. Estén atentos a nuestros próximos anuncios sobre el Programa de Recompensas por Amenazas!
