Digest du Programme de Prime de Menaces — Résultats de Mai 2024
Table des matières :
Publications
En mai, notre équipe de vérification de contenu a reçu plus de 300 soumissions pour examen. Après l’examen et, dans certains cas, des révisions répétées avec des corrections mineures au code, 59 nouvelles règles de détection de menaces uniques par Threat Bounty Program les auteurs de contenu ont été publiées avec succès sur le Threat Detection Marketplace.
Les soumissions qui ont été refusées ne répondaient pas aux critères d’acceptation pour la publication. Nous souhaitons rappeler à tous les membres du Threat Bounty Program qui prévoient de faire publier leur contenu sur la plateforme SOC Prime pour monétisation, de prendre en compte les exigences de contenu lors de la création et de la soumission de vos règles Threat Bounty.
Les règles de détection qui ne peuvent pas être utilisées efficacement pour la détection comportementale des menaces dans des conditions réelles dans les environnements de production des entreprises ne sont pas acceptées pour publication par SOC Prime. Pour maintenir le niveau de professionnalisme de nos auteurs actifs de Threat Bounty en adéquation avec la demande actuelle pour des algorithmes de détection comportementale des menaces exploitables, nous parlons de nos normes et technologies dans les webinaires et ateliers de SOC Prime et recommandons de suivre nos activités pour rester informés et développer vos compétences et intérêts professionnels en conséquence.
TOP Threat Bounty Detection Rules
Ces cinq règles de détection publiées par des membres du Threat Bounty Program ont démontré la meilleure correspondance avec la demande des organisations qui utilisent la plateforme SOC Prime pour améliorer leurs opérations de sécurité :
Activité suspecte d’exécution de malware IcedID(également connu sous le nom Latrodectus [IceNova]) par détection de commandes associées (via process_creation) – règle Sigma de threat hunting par Davut Selcuk vise à identifier les activités d’exécution suspectes liées au malware IcedID(également connu sous le nom Latrodectus [IceNova]) en surveillant les événements de création de processus.
Activité potentielle de ransomware ShrinkLocker pour abuser de Microsoft Bitlocker via la modification de clé de registre associée (via registry_event) – la règle Sigma de threat hunting par Emre Ay détecte le comportement du ransomware Shrinklocker qui tente de modifier une valeur de registre, permettant ainsi d’abuser de Microsoft Bitlocker.
Activité suspecte d’exécution de malware Latrodectus (IceNova) détectée par rundll32.exe (via process_creation) – règle Sigma de threat hunting par Davut Selcuk qui détecte des activités d’exécution suspectes associées au malware Latrodectus (IceNova) utilisant rundll32.exe pour l’exécution.
Activité potentielle de modification de clé de registre du ransomware ShrinkLocker pour abuser de Bitlocker (via registry_event) – règle Sigma de threat hunting par Emre Ay détecte la modification suspecte de la clé de registre associée effectuée par le ransomware ShrinkLocker pour abuser de la valeur de registre liée à BitLocker.
Activité suspecte de Commande Malveillante de C2 de ‘MuddyWater contre une cible du Moyen-Orient’ par détection de PowerShell CommandLine – règle Sigma de threat hunting par Aung Kyaw Min Naing. Cette règle détecte l’exécution malveillante de powershell par MuddyWater contre une cible du Moyen-Orient pour abuser de la clé de registre AutodialDLL et charger la DLL pour le framework C2.
Top Auteurs
Les contributeurs suivants de règles de détection de menaces participatives au Threat Bounty Program ont atteint les positions de notation les plus élevées grâce à leurs contributions, basées sur l’utilisation de leurs détections Threat Bounty par les organisations via la plateforme SOC Prime :
Deux auteurs de règles de détection Threat Bounty, Joseph Kamau and Bogac Kaya, ont atteint le jalon de 10 publications réussies cette année et sont reconnus comme Contributeurs SOC Prime de confiance.
Changements à venir
Les changements aux outils du Threat Bounty Program décrits dans les précédents bulletins mensuels seront bientôt mis en ligne. Notamment, les membres du Threat Bounty Program commenceront à utiliser Uncoder AI pour leurs publications Threat Bounty et le suivi des progrès. Le portail pour développeurs, ainsi que le Sigma Rules Slack Bot, ne seront plus pris en charge et ne seront pas utilisés pour le Threat Bounty Program. Les lignes directrices pour les utilisateurs seront disponibles sur le Centre d’aide de SOC Prime, et les membres du programme pourront essayer le nouvel outil pour soumettre leurs détections après que Uncoder AI soit prêt à être utilisé pour les règles Threat Bounty. Restez à l’écoute de nos prochaines annonces concernant le Threat Bounty Program!
