Résumé des Récompenses de Menace SOC Prime — Résultats de Décembre 2023
Table des matières :
Acceptation du contenu de Threat Bounty
Depuis le lancement du programme Threat Bounty, SOC Prime fournit des ingénieurs en détection compétents et enthousiastes pour aligner leurs compétences avec la demande actuelle et en temps réel de contenu de détection des menaces. Au cours de l’année 2023, nous avons continué à aligner les efforts des membres de Threat Bounty avec l’évolution de la plateforme, ce qui a entraîné quelques changements dans les critères d’acceptation du contenu. Notamment, nous suivons strictement les procédures de vérification du contenu et les directives de publication pour les règles basées sur les IOC de bas niveau, les règles conçues pour déclencher des alertes basées sur les alertes d’autres solutions de sécurité, et les règles ayant une applicabilité ou adaptabilité limitée — ce qui est qualifié de « faible résilience à long terme sur la plateforme SOC Prime ». Chez SOC Prime, nous sommes convaincus que cet effort collectif et le partage de retours encouragent le développement de compétences professionnelles vitales dans l’industrie de la cybersécurité de nos jours.
Nous espérons que tous les membres du programme Threat Bounty tiennent compte des règles d’acceptation du contenu et prêtent attention aux recommandations générales qu’ils reçoivent concernant les améliorations de contenu ou comme motif de rejet de publication.
Principales règles de détection de Threat Bounty du mois
Les détections suivantes par les développeurs de Threat Bounty sur la plateforme SOC Prime ont été les plus populaires :
Détection possible de la persistance par l’APT38/Lazarus Group nord-coréen via la détection des paramètres de ligne de commande associés (via process_creation) – règle de chasse aux menaces par Davut Selcuk qui identifie des indicateurs potentiels de persistance par l’APT38/Lazarus Group nord-coréen, en se basant sur la détection des paramètres de ligne de commande associés.
Exécution possible de code VBA malveillant dans des documents Excel ou Word par détection de commandes associées (via ps_script) – règle de chasse aux menaces par Emre Ay qui détecte les acteurs menaçants tentant d’exécuter du code VBA malveillant dans des documents Excel ou Word en utilisant des commandes PowerShell suspectes.
Changement suspect de clé de registre d’activité de malware DarkGate (via registry_event) – règle de chasse aux menaces par Davut Selcuk qui détecte les changements de clés de registre associés à DarkGate.
Exécution possible du malware Agent Racoon en utilisant des plug-ins PowerShell pour extraire des e-mails dans des environnements MS Exchange avec bloc de script PowerShell – règle de chasse aux menaces par Nattatorn Chuensangarun détecte une activité suspecte du malware Agent Racoon utilisant le plugin PowerShell pour exécuter des fichiers PST malveillants dans le répertoire système IIS (inetsrv) pour des extractions d’e-mails dans des environnements MS Exchange.
Activité possible de menace ransomware ESXi : suppression de toutes les VMs et de leurs instantanés via VIM-CMD – règle de chasse aux menaces par Kaan Yeniyol détecte la suppression des instantanés et des machines virtuelles sur les appareils ESXi à l’aide de la commande VMSVC. Les groupes de ransomware, après avoir compromis les systèmes ESXi, suppriment les instantanés associés aux appareils et cryptent les fichiers.
Meilleurs auteurs du mois
Bien que parfois les membres de Threat Bounty cessent leurs activités avec le programme et ne bénéficient plus des privilèges en tant qu’auteurs actifs de Threat Bounty, leurs détections permettent toujours aux entreprises utilisant SOC Prime de résister aux cybermenaces :
Les auteurs suivants ont démontré une contribution exceptionnelle avec leur contenu de détection qui a passé la vérification de qualité de l’équipe SOC Prime :
Restez à l’écoute des actualités, des mises à jour et des discussions communautaires pour être parmi les premiers à découvrir les changements à venir du Programme Threat Bounty, et n’hésitez pas à aider les entreprises du monde entier à se défendre contre les menaces émergentes avec vos détections Threat Bounty propulsées par les innovations de SOC Prime.
