Digest de la Prime aux Menaces SOC — Résultats de Décembre 2024
Table des matières :
Création de contenu de détection, soumission et publication
Décembre a été un autre mois impressionnant pour le Programme de primes pour les menaces, avec la communauté démontrant un esprit collaboratif et des compétences en ingénierie de détection.
Malgré la précipitation de fin d’année, les membres du programme ont continué à soumettre activement des détections pour répondre aux menaces émergentes. Au total, 33 nouvelles règles de détection ont été publiées avec succès sur la plateforme SOC Prime après avoir été validées par l’équipe d’experts de SOC Prime.
Modifications en cours et améliorations du programme
À partir de janvier 2025, nous avons temporairement suspendu l’acceptation de nouvelles détections de prime pour les menaces. Pendant que les activités du Programme de primes pour les menaces sont en pause, nous travaillons sur plusieurs améliorations de la plateforme SOC Prime visant à améliorer l’expérience globale pour tous les utilisateurs et à étendre les opportunités pour les membres du Programme de primes pour les menaces, y compris la soumission de contenu sous différents formats et des moyens supplémentaires de monétiser votre travail. Voir les détails ici.
Pendant ce temps, les membres de la communauté SOC Prime peuvent explorer les plans d’adhésion pour utilisateurs individuels et intégrer certaines des fonctionnalités premium de la plateforme dans leurs projets d’ingénierie de détection.
Meilleures règles de décembre par les auteurs de primes pour les menaces
Au cours du dernier mois de l’année, les règles de détection suivantes ont gagné en popularité parmi les entreprises qui utilisent SOC Prime pour améliorer leurs opérations de cybersécurité :
Utilisation de Rundll32 pour l’exploitation LOLBin (via process_creation) by Bogac KAYA. Cette règle détecte l’exécution de rundll32 exploitant windows.storage.dll pour invoquer ShellExec_RunDLL.
Tentative possible d’escalade des privilèges pour obtenir l’utilisateur SYSTEM avec la commande Powershell (via ps_script) by Mustafa Gurkan KARAKAYA. Cette règle détecte une commande malveillante possible pouvant être utilisée pour créer une tâche planifiée, exécuter une commande sur un serveur distant, lancer un travail avec un compte gMSA spécifique et effectuer toutes ces actions avec les privilèges SYSTEM.
Exécution suspecte de TA4557/FIN6 par l’invocation de malware More_Eggs via le service hôte du fournisseur WMI (via process_creation) by Nattatorn Chuensangarun – cette règle détecte une activité suspecte de TA4557/FIN6 libérant des fichiers DLL malveillants pour déployer le malware More_Eggs via le service d’hébergement du fournisseur WMI.
Activité possible de persistance du groupe APT35 par la création d’une clé de registre RunKey suspecte (via registry_event) by Emre Ay. Cette règle détecte la création suspecte d’une clé de registre runkey liée au groupe APT35 qui tente de maintenir la persistance sur le système de la victime et de charger silencieusement le programme malveillant.
Activité possible de persistance du ransomware BlackCat par la création d’une tâche planifiée suspecte (via process_creation) by Emre Ay. Cette règle détecte l’exécution de schtasks avec un paramètre taskrun suspect pour maintenir la persistance sur le système de la victime et exécuter le malware.
Auteurs de primes pour les menaces : Top 5 de décembre
Ces auteurs ont obtenu la meilleure évaluation pour leurs règles de prime pour les menaces :
Au fur et à mesure que le Programme de primes pour les menaces évolue, sa mission principale reste la même : favoriser la collaboration, l’innovation et l’impact dans l’industrie de la cybersécurité et renforcer la cyberdéfense mondiale. Nous sommes reconnaissants envers les auteurs de primes pour les menaces qui se sont tenus main dans la main pour faire cet immense impact sur le renforcement des défenses du monde contre les cyberattaques.
Restez à l’écoute pour plus de nouvelles et mises à jour !
