SOC Prime Digest Bounty des Menaces — Résultats d’Avril 2024

Publications de Threat Bounty

Membres enthousiastes du Programme Threat Bounty ont soumis plus de 250 détections pour examen et une chance de voir leurs détections publiées sur la Plateforme SOC Prime et des récompenses basées sur les évaluations. Toutes les règles ont été soigneusement examinées par notre équipe d’ingénieurs en détection distingués, et en conséquence, 59 des règles soumises ont été publiées sur le Marché de la Détection des Menaces.

Explorer les Détections

Pour les publications de contenu Threat Bounty, toutes les détections soumises sont examinées par une équipe expérimentée pour déterminer si les critères d’acceptation du contenu sont respectés. Nous encourageons les membres du programme à respecter les exigences d’acceptation de contenu de Threat Bounty pour garantir que les règles développées ont une forte probabilité de publication et que les auteurs consacrent leurs efforts au développement de contenu de manière raisonnable et efficace.

Principales Règles de Détection de Threat Bounty

Veuillez consulter les règles de détection qui ont été les plus populaires parmi les entreprises qui utilisent la Plateforme SOC Prime pour leurs opérations de sécurité :

1. Activité persistance suspecte de SSLoad Malware pour une utilisation malveillante avec Cobalt Strike par la détection de commandes associées (via process_creation) règle Sigma de chasse aux menaces par Davut Selcuk détecte une activité suspecte de persistance SSLoad potentiellement associée au déploiement de Cobalt Strike. La détection est basée sur l’observation de commandes spécifiques exécutées via des événements de création de processus sur les systèmes Windows.
2. Activité C2 malveillante suspecte de ‘MuddyWater contre une cible au Moyen-Orient’ par la détection de CommandLine PowerShell règle Sigma de chasse aux menaces par Aung Kyaw Min Naing détecte l’exécution malveillante de powershell par MuddyWater contre une cible au Moyen-Orient pour abuser de la clé de registre AutodialDLL et charger la DLL pour le cadre C2.
3. Attaques possibles d’injection de commande d’exploitation par vulnérabilité Rust (CVE-2024-24576) règle de chasse aux menaces par Emir Erdogan détecte des attaques d’injection de commande Windows via le langage de programmation rust avec l’aide des journaux de création de processus.
4. Activité persistance suspecte de XWorm par la détection de commandes associées (via process_creation) règle Sigma de chasse aux menaces par Davut Selcuk vise à détecter des activités de persistance suspectes associées au malware XWorm. La règle identifie des instances potentielles où XWorm établit sa persistance sur le système en utilisant schtasks.exe.
5. Possibilité de persistance Forest Blizzard en ajoutant un registre pour déployer le fichier DLL via le service Windows (via registry_event) règle Sigma de chasse aux menaces par Nattatorn Chuensangarun détecte une activité suspecte Forest Blizzard en ajoutant une clé de registre pour exécuter un fichier Dll malveillant via les services Windows.

Meilleurs Auteurs

Les règles de détection par les membres suivants du Programme Threat Bounty ont été les plus référencées par les utilisateurs actifs qui comptent sur la Plateforme SOC Prime pour améliorer les opérations de sécurité dans leurs organisations :

Davut Selcuk

Bogac Kaya

Emre Ay

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Nous sommes heureux d’annoncer que les auteurs suivants ont reçu des badges de reconnaissance pour leurs contributions actives à la Plateforme SOC Prime cette année :

Sittikorn Sangrattanapitak and Mehmet Kadir CIRIK – pour avoir atteint le jalon de 10 publications réussies cette année

Davut Selcuk – pour avoir atteint 50 publications réussies de règles de détection sur la Plateforme SOC Prime en 2024.

Changements à Venir

Nous sommes impatients d’introduire un nouveau flux pour que les membres du Programme Threat Bounty créent et gèrent leurs règles Threat Bounty via Uncoder AI. La prochaine version remplacera entièrement le Portail Développeur et le Bot Sigma Rules pour Threat Bounty, et Uncoder AI sera utilisé comme un seul IDE et outil de gestion de soumission de contenu pour les membres du Programme Threat Bounty.

Nous informerons en outre les membres de Threat Bounty des détails des changements à venir sur Discord, via le Portail Développeur avant son EOL, et par e-mail. Restez à l’écoute pour les annonces et les newsletters à propos du Programme Threat Bounty!