Bulletin de Prime de Menace SOC — Résultats de Septembre 2024
Table des matières :
Création, Soumission & Publication de Contenu de Détection
En septembre, le Threat Bounty Program a connu une croissance significative, avec plus de soumissions de règles de détection pour vérification et un plus grand nombre de publications réussies des règles du Threat Bounty sur la plate-forme SOC Prime. Nous restons engagés à faire en sorte que tous les membres du Threat Bounty Program tirent le meilleur parti de leur accès à l’Uncoder AI pour monétiser leurs compétences en ingénierie de détection avec SOC Prime.
Bien que nous apprécions les efforts de tous les auteurs des règles de détection des menaces, il est important de souligner que seules les règles qui passent la vérification peuvent être publiées. Nous reconnaissons que certains membres du Programme peuvent trouver un peu difficile d’adapter leur expérience avec les requêtes spécifiques aux SIEM à des règles de détection qui satisferaient nos exigences, telles que la logique de détection complexe et l’accent mis sur les indicateurs d’attaque, et non sur les indicateurs de compromission de bas niveau. Cependant, ce défi stimule l’avancement professionnel des membres du Threat Bounty Program et améliore l’efficacité de nos efforts collectifs de détection des menaces.
Alors que le Threat Bounty Program continue de croître, nous sommes ravis de reconnaître les membres du Programme qui utilisent habilement Uncoder AI. Ces individus non seulement améliorent leurs propres compétences mais se distinguent également sur le marché du travail, démontrant une maîtrise de l’utilisation de la technologie et de la méthodologie qui rendent l’ingénierie de détection plus efficace.
TOP Règles de septembre par les Auteurs du Threat Bounty
Détection d’Exécution de RAT (Remote Administration Tools) Commun—règle Sigma par Emanuele De Lucia. Cette règle détecte l’exécution des RATs les plus populaires (via process_creation).
Exécution possible du Malware Hadooken en Déposant une Charge Utile pour Déployer un Cryptominer sur Cibles Applicatives Weblogic [Linux] (via file_event) by Nattatorn Chuensangarun. Cette règle Sigma détecte une activité suspecte de Malware Hadooken en déployant une charge utile elf malveillante pour déployer un malware Cryptominer.
Configuration Suspecte de Microsoft IIS (Internet Information Services) liée à une Campagne de Manipulation SEO—règle Sigma du Threat Bounty par Joseph Kamau. Cette règle détecte des modifications à un paramètre de configuration sur IIS, ce qui permet le déploiement réussi du Malware BadIIS sur un serveur IIS compromis en raison des lacunes du malware (il ne peut pas compresser la sortie des scripts), comme observé dans la campagne SEO DragonRank.
Détection d’Exécution de Proxy Binaire Signé Liée au Malware Latrodectus (via CmdLine)—règle Sigma de chasse aux menaces par Kyaw Pyiyt Htet. La règle détecte l’exécution d’un proxy binaire signé associé au malware Latrodectus, qui est couramment distribué par des campagnes de spam par email.
Paramètres Suspects de Mappage de Certificats Faibles de SChannel (via événement de registre)—règle Sigma de chasse aux menaces par Sittikorn Sangrattanapitak. Selon l’auteur, cette règle détecte des paramètres de mappage de certificats faibles via des changements de registre. Lorsqu’une application serveur nécessite une authentification du client, SChannel tente automatiquement de mapper le certificat du client à un compte d’utilisateur correspondant. Cela permet l’authentification de l’utilisateur par certificat client en créant des mappages qui lient les informations du certificat à un compte d’utilisateur Windows.
Auteurs du Threat Bounty : TOP 5 de septembre
Dans les faits marquants de septembre, nous sommes fiers de reconnaître les cinq principaux membres du Threat Bounty Program dont les contributions à la plate-forme SOC Prime ont démontré des performances exceptionnelles. Leurs règles de détection se distinguent non seulement par leur qualité, mais reflètent également la confiance placée dans les ingénieurs de détection participative par les organisations exploitant la plate-forme SOC Prime.
Nattatorn Chuensangarun qui a également atteint le cap de 50 règles publiées en 2024 et a reçu une attestation numérique en tant que Contributeur Excellent
Nous encourageons tous les membres du Threat Bounty Program à continuer à affiner leurs règles de détection et à s’engager avec la communauté sur le serveur Discord de SOC Prime. Vos contributions et progrès en compétences sont essentiels pour améliorer nos efforts collectifs de défense cybernétique. Restez à l’écoute pour plus de mises à jour et d’opportunités dans le Threat Bounty Program, et n’oubliez pas, chaque règle que vous créez est un pas vers votre excellence.
