SOC Prime Threat Bounty Digest — Résultats de Février 2024
Table des matières :
Publications de Threat Bounty
En février, les membres du programme Threat Bounty ont soumis plus de 350 détections pour examen par l’équipe SOC Prime. Après l’examen par l’équipe de vérification du contenu, 70 règles ont été publiées avec succès sur la plateforme SOC Prime. Lors de la vérification, l’équipe SOC Prime a fourni plus de 400 explications de rejet de contenu et recommandations pour des améliorations de règles lorsque c’était possible. Il est important que les auteurs comprennent que toutes les règles sont examinées individuellement, en commençant par les règles reçues pour examen plus tôt, et tout changement apporté à la règle, y compris les corrections, déclenche automatiquement une nouvelle itération de vérification de la règle.
Nous avons eu le plaisir de parler avec le membre de Threat Bounty, Phyo Paing Htun, ce qui a donné lieu à une interview perspicace sur le blog SOC Prime, et à une courte vidéo dans laquelle Phyo Paing Htun partage son expérience et ses approches pour créer des règles pour la publication de Threat Bounty.
Actualités de Threat Bounty
Nous sommes ravis d’annoncer l’introduction prochaine de certifications numériques par le programme SOC Prime Threat Bounty en collaboration avec Credly par Pearson. Les certifications numériques représentent un pas en avant important dans la reconnaissance de l’engagement et de l’expertise des membres de la communauté Threat Bounty, leur offrant un symbole tangible de leurs réalisations depuis le lancement de l’initiative Threat Bounty, ainsi qu’une reconnaissance de leurs réalisations actuelles. Restez à l’écoute alors que nous embarquons dans ce voyage pour célébrer et valoriser les auteurs de règles de détection au sein du programme Threat Bounty.
TOP règles de détection Threat Bounty
Les cinq règles de détection suivantes ont été les plus demandées parmi les organisations utilisant la plateforme SOC Prime pour améliorer leurs capacités de détection de menaces :
Exploitation possible (CVE-2023-46805 / CVE-2024-21887) des vulnérabilités de contournement d’authentification et d’injection de commande d’Ivanti Connect Secure (via le serveur web) – règle Sigma de chasse aux menaces par Davut Selcuk qui détecte une exploitation potentielle des vulnérabilités d’Ivanti Connect Secure (CVE-2023-46805 et CVE-2024-21887) liées au contournement d’authentification et à l’injection de commande.
Accès initial possible par exploitation de la vulnérabilité d’exécution de code à distance de Microsoft Outlook (MonikerLink) [CVE-2024-21413] – règle de chasse aux menaces par Kaan Yeniyol qui détecte des attaques d’exécution de code à distance et de vol de références NTLM dans Microsoft Outlook (CVE-2024-21413). Cette vulnérabilité peut entraîner une fuite locale de références NTLM et l’exécution de code lorsque des attaquants ouvrent des courriels contenant des liens malveillants.
Tentative d’exploitation de la vulnérabilité de contournement d’authentification d’Ivanti Pulse Connect Secure [CVE-2023-46805] (via proxy) – règle Sigma de chasse aux menaces par Mustafa Gurkan KARAKAYA détecte une tentative d’exploitation possible de la vulnérabilité de contournement d’authentification Ivanti [CVE-2023-46805] via la requête associée.
Accès initial possible par exploitation de la vulnérabilité d’exécution de code à distance d’Ivanti Connect Secure VPN [CVE-2024-21887] (via le serveur web) – règle de chasse aux menaces par Kaan Yeniyol qui détecte une vulnérabilité d’injection de commande dans les composants web d’Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x), permettant à un administrateur authentifié d’envoyer des requêtes spécialement conçues et d’exécuter des commandes arbitraires sur le dispositif.
Élévation de privilège possible via TrustedInstaller pour extraction de Lsass par détection des commandes associées (via process_creation) – règle Sigma de chasse aux menaces par Davut Selcuk qui identifie des tentatives potentielles d’élévation de privilèges en détectant des activités liées à la désactivation de SeDebugPrivilege. Elle se concentre spécifiquement sur les techniques qui utilisent le compte TrustedInstaller pour contourner les restrictions de privilège, permettant l’extraction de la mémoire à l’aide d’outils comme ProcDump pour lsass.exe.
Meilleurs auteurs
Les règles de détection de Threat Bounty par ces auteurs ont été principalement intéressantes et utiles pour les entreprises utilisant la plateforme SOC Prime pour leurs opérations de sécurité quotidiennes :
Davut Selcuk – il a publié 25 nouvelles règles en février, et un total de 58 de ses détections, y compris les règles publiées précédemment, ont été utilisées par les entreprises clientes de SOC Prime.
Emre Ay a publié 12 nouvelles règles, et les entreprises sur la plateforme SOC Prime ont téléchargé un total de 38 de ses détections.
Sittikorn Sangrattanapitak – 58 règles uniques, dont 6 publiées en février, ont été téléchargées.
Nattatorn Chuensangarun – 45 détections, dont 4 règles publiées en février, ont été téléchargées par les entreprises via la plateforme SOC Prime.
Osman Demir – 40 règles de détection, dont une publiée en février, ont été téléchargées, et les résultats ont été inclus dans les résultats de février du Threat Bounty.
N’hésitez pas à rejoindre le programme Threat Bounty et à contribuer à l’initiative collective d’ingénierie de détection qui permet aux entreprises du monde entier de résister aux menaces émergentes, et gardez votre attention sur l’ingénierie de détection pour des cas réels abordant la demande réelle des organisations dans le monde entier.
