Digest de la Prime sur les Menaces de SOC — Résultats de Janvier 2024
Table des matières :
Contenu des primes aux menaces
En janvier, les membres du Programme de primes aux menaces ont été très actifs en soumettant des détections pour examen par l’équipe de vérification du contenu de SOC Prime. Après la vérification et l’examen des règles suggérées, 44 détections ont été publiées sur le Threat Detection Marketplace, bien que certaines règles aient nécessité de légères modifications et aient été renvoyées aux auteurs pour corrections finales.
Comme d’habitude, notre équipe est ouverte à répondre aux questions concernant les critères d’acceptation de contenu sur le serveur Discord de SOC Prime. À mesure que la plateforme SOC Prime évolue, les critères d’acceptation de contenu changent également, et il est essentiel que tous les auteurs, quel que soit leur expérience avec les publications Threat Bounty, comprennent quel code de détection est accepté pour publication. Cela peut aider les auteurs de contenu à investir leur temps dans la recherche et le développement de règles de primes aux menaces de manière plus raisonnable et efficace.
TOP Règles de détection des primes aux menaces
Ces cinq détections publiées dans le cadre du Programme de primes aux menaces ont été les plus populaires parmi les organisations utilisant la plateforme SOC Prime pour améliorer leurs opérations de sécurité :
Tentative d’exploitation de la vulnérabilité de contournement d’authentification Ivanti Pulse Connect Secure [CVE-2023-46805] suspectée (via proxy) – une règle Sigma de chasse aux menaces par Mustafa Gurkan KARAKAYA détecte une tentative d’exploitation possible de la vulnérabilité de contournement d’authentification Ivanti [CVE-2023-46805] via une requête associée.
Journal d’événements effacé à l’aide de Diagnostics (via PowerShell) – règle Sigma de chasse aux menaces par Michel de Crevoisier. Cette règle détecte les scénarios où un attaquant tente d’effacer les journaux d’événements.
Accès initial possible par exploitation de la vulnérabilité d’exécution de code à distance Ivanti Connect Secure VPN [CVE-2024-21887] (via serveur web) – règle Sigma de chasse aux menaces par Kaan Yeniyol. Cette règle détecte une vulnérabilité d’injection de commande dans les composants web de Ivanti Connect Secure (9.x, 22.x) et Ivanti Policy Secure (9.x, 22.x), permettant à un administrateur authentifié d’envoyer des requêtes spécialement conçues et d’exécuter des commandes arbitraires sur le périphérique.
Chargement de DLL suspect sans passer de paramètre en manipulant la fonctionnalité AutoRegister de RegSvr (via process_creation) – détection par Mustafa Gurkan KARAKAYA. Cette règle détecte une activité possible d’ajout de clé de registre pour manipuler la fonctionnalité AutoRegister de regsvr.
Détecter la distribution de ransomware via TeamViewer (via cmdline) – la règle de chasse aux menaces par Furkan Celik détecte une distribution initiale possible de ransomware, initiée avec un fichier d’extension .bat exécuté depuis le bureau de l’utilisateur. Ensuite, le processus rundll32 est utilisé avec le fichier d’extension .bat.
Top auteurs
Les règles de primes aux menaces de ces cinq auteurs ont été les plus populaires parmi les utilisateurs du Threat Detection Marketplace :
Nattatorn Chuensangarun – 112 détections ont été utilisées par les organisations qui utilisent SOC Prime, y compris 6 règles publiées au cours du mois précédent.
Osman Demir – 80 détections de cet auteur ont été utilisées par les clients de SOC Prime. Toutes les détections ont été publiées plus tôt.
Davut Selcuk – 27 règles de cet auteur, y compris 12 détections récemment publiées, ont été utilisées via Threat Detection Marketplace par les utilisateurs de SOC Prime.
Mustafa Gurkan KARAKAYA – 50 règles, incluant huit détections récemment publiées, ont aidé les organisations utilisant SOC Prime à améliorer leurs capacités de détection des menaces.
Sittikorn Sangrattanapitak – 90 règles de détection, y compris une détection récemment publiée, ont été utilisées par les organisations utilisant SOC Prime.
Nous souhaitons également mentionner les auteurs dont les détections sur le Threat Detection Marketplace affichent le meilleur rapport vues/téléchargements, ce qui signifie que les détections sont téléchargées ou déployées par les clients de SOC Prime après avoir visualisé le code :
Ccontribuez à la défense collective contre les cybermenaces avec vos propres règles de détection via Programme de primes aux menaces, et soyez récompensé pour votre impact.
