Synthèse de la Prime de Menace SOC — Résultats de Juin 2024
Table des matières :
Soumission et publication de contenu de détection
En juin, les membres du programme Threat Bounty de SOC Prime ont commencé à utiliser Uncoder AI pour créer, valider et soumettre des règles pour révision avant la publication sur la plateforme SOC Prime. Nous sommes heureux de fournir aux auteurs l’outil qui les aide à créer des règles de détection de haute qualité pour Threat Bounty et soutient leur avancement professionnel. Notre équipe s’engage à équiper les ingénieurs de détection, les spécialistes DFIR et les analystes SOC des meilleures technologies pour améliorer leurs compétences techniques et analytiques, surmonter les défis du monde réel et aligner leurs parcours professionnels avec les besoins de l’industrie tout en récompensant les auteurs participant activement à l’initiative d’ingénierie de détection participative de SOC Prime. Découvrez-en plus sur l’évolution du programme Threat Bounty dans cet article.
En juin, les membres du programme ont publié avec succès 24 nouvelles règles de détection Threat Bounty uniques capables d’identifier des comportements malveillants. Avec l’aide de la validation intégrée, les auteurs de contenu ont amélioré leur compréhension de la syntaxe Sigma, ce qui les a aidés à éviter les erreurs courantes à l’avenir. L’équipe de vérification observe une amélioration constante des règles soumises pour répondre aux critères d’acceptation des soumissions Threat Bounty.
Les retours fournis par l’équipe de SOC Prime pendant le processus de vérification du contenu ont aidé à aligner les efforts futurs de recherche et de création de règles avec le besoin de contenu exploitable pour détecter les comportements malveillants. L’équipe de vérification a reçu plus de règles répondant aux critères d’acceptation du Threat Bounty.
Les fonctionnalités d’Uncoder AI, y compris un référentiel de contenu privé au sein de la plateforme SOC Prime, sont disponibles pour tous les membres du programme Threat Bounty, et nous les encourageons à utiliser activement l’outil pour leur développement personnel et professionnel ainsi que pour travailler avec divers types de contenu et formats. Cependant, nous n’acceptons toujours que les règles de détection répondant aux exigences du programme, c’est pourquoi nous recommandons aux auteurs qui souhaitent monétiser leurs règles de détection de suivre les exigences chaque fois qu’ils souhaitent que leur règle soit publiée pour monétisation sur la plateforme SOC Prime.
Principales règles de détection Threat Bounty
Les détections Threat Bounty suivantes ont été les plus référencées par les entreprises utilisant SOC Prime :
Détection possible de l’outil d’exploitation Black Basta utilisant une vulnérabilité d’élévation de privilèges Windows pour la persistance (CVE-2024-26169) (via registry_set) – règle Sigma de chasse aux menaces par Davut Selcuk qui détecte l’utilisation d’un outil d’exploitation associé au groupe de ransomware Black Basta, qui utilise une vulnérabilité d’élévation de privilèges Windows (CVE-2024-26169) dans le service de rapport d’erreurs Windows pour obtenir la persistance. Le groupe cybercriminel Cardinal (alias Storm-1811, UNC4393) a été lié à l’exploitation de cette vulnérabilité comme une zero-day. L’outil d’exploitation exploite le fait que le fichier Windows werkernel.sys utilise un descripteur de sécurité nul lors de la création de clés de registre.
Détection possible de l’exécution du backdoor WARMCOOKIE liée à l’exécution suspecte de rundll32.exe et des commandes associées (via process_creation) – règle Sigma de chasse aux menaces par Davut Selcuk qui aide à détecter l’exécution suspecte de rundll32.exe associée au backdoor WARMCOOKIE. WARMCOOKIE est un backdoor utilisé par les acteurs menaçants pour infiltrer et compromettre des systèmes, généralement livré via des campagnes de phishing avec des thèmes de recrutement. Il utilise rundll32.exe pour exécuter des charges utiles malveillantes stockées dans des répertoires temporaires, visant la persistance et le contrôle à distance.
Activité possible du ransomware ShrinkLocker pour abuser de Microsoft Bitlocker en modifiant la clé de registre associée (via registry_event) – la règle Sigma de chasse aux menaces par Emre Ay détecte le comportement du ransomware ShrinkLocker qui tente de modifier une valeur de registre, ce qui lui permet d’abuser de Microsoft Bitlocker.
Vulnérabilité de traversée de répertoire de SolarWinds Serv-U-FTP (CVE-2024-28995) – règle Sigma de chasse aux menaces par Emir Erdogan. Cette règle identifie les tentatives d’exploitation de la vulnérabilité de traversée de répertoire de SolarWinds Serv-U-FTP avec l’aide des journaux du serveur web.
Exécution de commande suspecte du ransomware STOP par détection de ligne de commande associée (via process_creation) – règle Sigma de chasse aux menaces par Emre Ay détecte les commandes suspectes liées au ransomware STOP/DJVU qui visent à démarrer son activité malveillante via l’utilisation de commandes associées.
Meilleurs auteurs
Les règles de détection Threat Bounty de ces auteurs ont été les plus populaires sur la plateforme en juillet :
De plus, Emir Erdogan a reçu un badge numérique en tant que Contributeur de confiance en reconnaissance de sa contribution à la plateforme SOC Prime cette année.
Si vous souhaitez suivre le succès des auteurs que SOC Prime reconnaît régulièrement pour leurs soumissions, veuillez lire l’interview perspicace avec Kyaw Pyiyt Htet reconnu comme l’un des 20 meilleurs contributeurs de SOC Prime.
Améliorez vos compétences en utilisant Uncoder AI comme votre IDE pour l’ingénierie de détection, et monétisez vos compétences par des publications sur la plateforme SOC Prime avec le programme Threat Bounty.
