Résultats du SOC Prime Threat Bounty Digest — Mars 2024

Publications de Threat Bounty

En mars 2024, 40 règles de détection de menaces ont été publiées avec succès sur la plate-forme de SOC Prime via le programme Threat Bounty, après la révision de notre équipe de contenu. Bien que nous observions une amélioration globale de la qualité des soumissions, il y a également certaines idées fausses typiques qui peuvent être reconnues dans les approches de publication de contenu de nombreux auteurs. Aujourd’hui, nous aimerions partager cette information avec vous, en espérant qu’elle aidera les contributeurs de contenu Threat Bounty à obtenir plus de publications réussies.

Les règles de détection spécifiquement basées sur les IOCs fournis dans certains articles de blog, articles, newsletters, etc., ne sont pas les règles que SOC Prime attend des membres de Threat Bounty en tant que contribution pour publication. Lorsqu’il s’agit d’ingénierie de détection participative, nous voulons voir plus de contenu sur les outils et des règles de détection liées aux aspects de corrélation de comportements spécifiques.

Pour un démarrage en douceur avec les publications, notre équipe recommande aux membres du programme de suivre les directives décrites dans la section FAQ de Threat Bounty du centre d’aide de SOC Prime. Si vous estimez également avoir besoin de quelques directives avec une approche pratique, nous vous invitons à regarder les webinaires de SOC Prime, en particulier ceux axés sur Sigma et la chasse aux menaces, et le programme Threat Bounty.

De plus, le webinaire à venir, qui a récemment été annoncé sur le Discord de SOC Prime, se concentrera sur les difficultés courantes de ceux qui viennent de commencer à rédiger des règles pour Threat Bounty et fournira des directives pour les auteurs qui sont intéressés et motivés à améliorer leur taux d’acceptation et le nombre moyen de publications réussies. Nous sommes ouverts aux questions, suggestions et récits d’expériences personnelles avec les publications de Threat Bounty – si vous avez quelque chose à partager, faites-le nous savoir sur Discord. Restez à l’écoute pour d’autres mises à jour sur la date et l’heure du webinaire.

Principales règles de détection de Threat Bounty

Les règles suivantes, publiées sur la plate-forme de SOC Prime via le programme Threat Bounty, ont suscité le plus d’intérêt parmi les utilisateurs de la plate-forme en mars 2024 :

1. Déploiement possible de mineurs de cryptomonnaie avec commandes de persistance dans ScreenConnect Post-Exploitation (CVE-2024-1709 & CVE-2024-1708) (via process_creation) – règle Sigma de chasse aux menaces par Davut Selcuk détecte le déploiement potentiel de mineurs de cryptomonnaie et les commandes de persistance lors d’activités de post-exploitation via ScreenConnect. Elle peut identifier des séquences de commandes spécifiques impliquant la création de tâches planifiées par schtasks.exe contenant SentinelUI.exe.
2. Détection de création de fichier suspect lié au groupe APT Water Hydra exploitant une vulnérabilité de Microsoft Defender SmartScreen (CVE-2024-21412) (via file_event) – règle Sigma de chasse aux menaces par Davut Selcuk détecte la création de fichiers suspects par le groupe APT Water Hydra, qui exploite la vulnérabilité de Microsoft Defender SmartScreen (CVE-2024-21412) lors de campagnes ciblant les traders du marché financier.
3. Activité de persistance suspecte du malware TinyTurla par le groupe d’espionnage russe via Associated Commandline (via process_creation) – règle Sigma de chasse aux menaces par Mustafa Gurkan KARAKAYA détecte une activité de persistance potentielle du malware TinyTurla en créant un service associé via l’ajout d’une clé de registre.
4. Activité de persistance possible du ransomware RA World en créant un service suspect (via security) – règle Sigma de chasse aux menaces par Mustafa Gurkan KARAKAYA détecte une activité de persistance possible du ransomware RA World en créant un service associé.
5. Accès initial possible par exploitation de la vulnérabilité d’exécution de code à distance de Microsoft Outlook (MonikerLink) [CVE-2024-21413] – règle Sigma de chasse aux menaces par Kaan Yeniyol détecte une exécution de code à distance possible et des attaques de crédentiels NTLM dans Microsoft Outlook (CVE-2024-21413).

Meilleurs auteurs

Bien que nous soyons encore en train de collecter et de valider toutes les informations nécessaires pour les paiements de récompenses, j’aimerais tout de même partager la liste des cinq meilleurs auteurs de Threat Bounty du mois. En mars, les utilisateurs du Threat Detection Marketplace se sont le plus référés aux règles de détection de ces cinq auteurs, parmi d’autres auteurs de règles de détection de Threat Bounty :

Nattatorn Chuensangarun

Davut Selcuk

Sittikorn Sangrattanapitak

Emre Ay

Mustafa Gurkan KARAKAYA

De plus, au début de cette semaine, cinq membres du programme Threat Bounty ont reçu des badges de reconnaissance de SOC Prime comme preuve de leurs contributions précieuses et de l’accomplissement de dix publications réussies de leurs règles de détection de menaces en 2024. Trouvez plus d’informations sur les badges Threat Bounty et les récents prix dans cet article. 

Nous invitons les personnes compétentes et motivées, intéressées par le développement de leurs compétences en ingénierie de détection et par gagner de l’argent avec leurs contributions, à postuler pour participer au programme Threat Bounty!