Synthèse des Récompenses de Threat Bounty de SOC Prime — Résultats de Septembre 2023
Table des matières :
Découvrez le nouveau Programme de primes pour menaces digest qui couvre les actualités récentes et les mises à jour de l’initiative d’ingénierie de détection participative de SOC Prime.
Soumissions de contenu Threat Bounty
En septembre, les membres du Programme de primes pour menaces ont soumis 629 règles pour examen par l’équipe SOC Prime avant publication pour monétisation. Après l’examen et l’évaluation de la qualité, ainsi que de nombreuses itérations pour des améliorations lorsque cela était possible, 90 règles ont été approuvées pour publication sur la plate-forme SOC Prime.
Pour garantir que les développeurs de contenu Threat Bounty ainsi que la communauté mondiale de cybersécurité puissent tirer le meilleur parti de la plate-forme SOC Prime, nous avons introduit un ensemble d’améliorations aux workflows et communications existants du Programme de primes pour menaces. Par exemple, pour garantir que les guides sur le développement de contenu Threat Bounty soient connus et accessibles aux membres du Programme, nous avons lancé un canal dédié sur le serveur Discord de SOC Prime pour partager connaissances et expériences avec des pairs.
Ainsi, SOC Prime introduit des changements dans les workflows actuels, y compris la communication et la supervision par l’équipe d’ingénierie de détection SOC Prime, l’acceptation des règles, le processus d’examen et les récompenses. Les changements introduits sont nécessaires pour assurer le développement futur du Programme de primes pour menaces et sa maturité, ainsi que pour aligner l’ingénierie de détection participative avec les besoins de la communauté pour la détection proactive des menaces et la chasse aux menaces.
TOP règles de détection Threat Bounty
Voici les règles qui ont attiré le plus d’attention de la part des clients existants de la plate-forme :
- Ciblage possible de Lokibot sur les documents Microsoft Office en utilisant des vulnérabilités connues par détection des commandes associées (via process_creation) – une règle de chasse aux menaces Sigma par Emre AY. Cette règle détecte la campagne Lokibot ciblant les documents Microsoft Office à l’aide de vulnérabilités via des commandes associées.
- Activité possible de la campagne Steal-It pour définir une variable d’environnement par détection de ligne de commande associée (via process_creation) – une règle de chasse aux menaces par Mustafa Gurkan KARAKAYA. Cette règle détecte une possible exécution de commande d’une campagne steal-it pour définir une variable d’environnement avec un emplacement de fichier suspect.
- Exécution suspecte du ransomware Akira par détection des paramètres associés (via cmdline) – une règle de chasse aux menaces par Osman Demir. Cette règle détecte une possible campagne d’attaque, et le logiciel malveillant exécuté avec un paramètre spécifique effectue des activités de ransomware.
- Activité d’énumération possible du ransomware BlackCat (alias ALPHV) par détection de commande Powershell associée (via ps_script) – règle de chasse aux menaces par Mustafa Gurkan KARAKAYA.
- Activation possible de l’agent de bureau à distance Apple pour effectuer une exécution de code à distance et un déplacement latéral par détection de commande associée (via process_creation) – règle de chasse aux menaces par Emre AY. Cette règle détecte les adversaires qui tentent d’activer la gestion à distance du bureau pour un accès à distance au système cible pour tous les utilisateurs avec tous les privilèges via l’exécution d’une commande kickstart.
Meilleurs auteurs
Ces auteurs de règles de détection Threat Bounty ont traditionnellement suscité le plus d’interactions avec leur contenu par les utilisateurs de la plate-forme :
Nous encourageons les développeurs enthousiastes de règles de détection SIEM à rejoindre le Programme de primes pour menaces SOC Prime et à contribuer à la défense collective contre la cybercriminalité tout en créant un portfolio personnel avec le leader du marché et en développant professionnellement dans la communauté mondiale de cybersécurité.