Bulletin des Récompenses pour Menaces SOC Prime — Résultats d’Octobre 2023
Table des matières :
Découvrez les nouveautés du programme Threat Bounty de SOC Prime et les résultats d’octobre.
Soumissions de contenu Threat Bounty
Nous sommes heureux que les auteurs des règles Threat Bounty investissent leur temps à valider leurs détections avec Warden et à rechercher les détections existantes, ce qui les aide à éviter les doublons lors de la création et de la soumission de règles pour la monétisation. En octobre, l’équipe de SOC Prime a reçu 477 règles pour vérification avant publication sur la plate-forme SOC Prime. Après la validation et l’évaluation standard, 90 règles ont été approuvées pour publication.
Le programme Threat Bounty accueille de nouveaux auteurs de contenu enthousiastes ces jours-ci, et nous invitons tous à rejoindre le serveur Discord et les canaux privés dédiés aux discussions sur Threat Bounty. De plus, pour s’assurer que tous les nouveaux membres connaissent les critères d’acceptation de contenu et les normes de SOC Prime, nous encourageons tous les auteurs à regarder les webinaires de SOC Prime et à lire notre blog.
Principales règles de détection Threat Bounty
Ces détections soumises par les membres de Threat Bounty ont été les plus demandées par les organisations utilisant la plate-forme SOC Prime :
- Modification suspecte de la clé de registre pour détection de l’attaque HTTP/2 Rapid Reset (CVE-2023-44487) (via registry_event) règle Sigma de la chasse aux menaces par Davut Selcuk détecte une activité potentielle d’attaque HTTP/2 Rapid Reset liée au CVE-2023-44487.
- Possibilité de tentative d’exploitation CVE-2023-42793 (contournement d’authentification menant à l’exécution de code à distance sur JetBrains TeamCity Server) (via proxy) règle Sigma de la chasse aux menaces par Aykut Gürses identifie une tentative d’exploitation possible du CVE-2023-42793 (contournement d’authentification menant à l’exécution de code à distance sur JetBrains TeamCity Server), qui pourrait faire partie de la chaîne d’exécution de code à distance TeamCity. Basée sur un POC disponible publiquement.
- Possibilité de tentative d’exploitation du CVE-2023-40044 (failles critiques d’exécution de code pré-authentification dans le serveur WS_FTP) (via proxy) règle Sigma de la chasse aux menaces par Aykut Gürses est basée sur un POC disponible publiquement et identifie des tentatives d’exploitation possibles du CVE-2023-40044 (failles critiques d’exécution de code pré-authentification dans le serveur WS_FTP), qui pourrait faire partie de la chaîne d’exécution de code à distance TeamCity.
- Activité suspecte d’énumération pour trouver un utilisateur activé avec la commande Powershell associée au chiffrement réversible des mots de passe (via ps_script) règle Sigma de la chasse aux menaces par Mustafa Gurkan KARAKAYA détecte une activité d’énumération possible pour découvrir les utilisateurs ayant activé la fonctionnalité de chiffrement réversible des mots de passe sur Active Directory. Les attaquants peuvent tenter d’identifier les utilisateurs avec cette fonctionnalité et essayer d’obtenir leurs informations de mot de passe en texte brut.
- Tentative d’exploitation possible CVE-2023-40044 WS_FTP et module IIS de transfert ad hoc (via serveur web) règle Sigma de la chasse aux menaces par Sittikorn Sangrattanapitak détecte des tentatives d’exploitation potentielles contre la vulnérabilité d’exécution de code à distance (RCE) (CVE-2023-40044) dans WS_FTP.
Meilleurs auteurs
En fonction de la manière dont les utilisateurs de la plate-forme SOC Prime ont utilisé le contenu de détection disponible, les détections de ces auteurs ont été les plus demandées :
Êtes-vous curieux de publier vos propres détections sur la plate-forme SOC Prime ? Rejoignez le programme Threat Bounty et aidez les entreprises du monde entier à résister aux cybermenaces.
