SOC Prime Threat Bounty Digest — Risultati di Agosto 2024
Indice:
Creazione, Invio & Rilascio di Contenuti di Rilevazione
Agosto 2024 è stato impegnativo per la comunità cibernetica globale, ma è stato anche pieno di opportunità per i membri di SOC Prime’s Threat Bounty di ottenere riconoscimento personale e denaro per i loro contributi. Durante il mese di agosto, 22 rilevamenti sono stati rilasciati con successo sulla piattaforma SOC Prime e un numero doppio di rilevamenti sono stati restituiti agli autori per miglioramenti con le raccomandazioni di migliorare alcuni aspetti dellalogica di rilevazione SOC Prime incentiva gli autori più talentuosi e motivati e pubblica solo rilevamenti che rispettano i criteri di accettazione del Programma e dimostrano le straordinarie capacità di ingegneria di rilevamento dell’autore. Con Uncoder AI, gli appassionati praticanti di sicurezza informatica possono ottenere molta esperienza pratica e migliorare le loro competenze professionali e prestazioni adottando tecnologie emergenti nelle loro.
SOC Prime incentivizes the most talented and motivated authors and publishes only detections that comply with the Program acceptance criteria and demonstrate the author’s outstanding detection engineering skills. With Uncoder AI, keen cyber security practitioners can gain a lot of practical experience and improve their professional skills and performance by adopting emerging technologies into their abitudini quotidiane.
Regole di Rilevazione di Threat Bounty
Queste cinque regole, contribuite tramite il Programma Threat Bounty, hanno suscitato il maggiore interesse tra le aziende che si affidano a SOC Prime per migliorare le loro operazioni di sicurezza informatica:
Esecuzione Powershell Sospetta per Async RAT mediante Rilevazione di Comandi Associati (via powershell) – regola Sigma per la caccia alle minacce di Osman Demir.
Possibile Tentativo di Sfruttamento di Bypass di Autenticazione Ivanti (CVE-2024-7593) (via webserver) – regola di caccia alle minacce di Wirapong Petshagun. Questa regola rileva i pattern URL utilizzati per sfruttare la vulnerabilità di bypass di autenticazione in Ivanti (CVE-2024-7593). Un sfruttamento riuscito potrebbe portare a un bypass di autenticazione e alla creazione di un utente amministratore.
Possibile Rilevamento dello Strumento Specula che Sfrutta Microsoft Outlook per la Post-Exploitation e l’Esecuzione di Codice Remota tramite Modifiche al Registro (via registry_event) – regola Sigma per la caccia alle minacce di Davut Selcuk rileva attività post-sfruttamento potenziali utilizzando lo strumento Specula, che sfrutta Microsoft Outlook per l’esecuzione remota di codice modificando le impostazioni del registro. Specula può trasformare Outlook in un faro di comando e controllo (C2), consentendo agli attaccanti di eseguire codice malevolo da remoto.
Possibile Gruppo di Minacce Cinese-Nexus (Velvet Ant) Esecuzione Abusando Load Balancers F5 per Distribuire Malware PlugX (via file_event) – regola di caccia alle minacce di Nattatorn Chuensangarun. Con questa regola, gli utenti della piattaforma SOC Prime possono rilevare attività sospette associate al Gruppo di Minacce Cinese-Nexus ‘Velvet Ant’.
Possibile Persistenza UNC4393 Modificando il Registro per Eseguire BASTA Ransomware tramite il Servizio Skype (via registry activity) – regola di caccia alle minacce di Nattatorn Chuensangarun. Questa regola rileva attività sospette UNC4393 quando l’attore della minaccia modifica la chiave del registro per avviare un payload binario malevolo per distribuire il ransomware BASTA tramite Skype.
Autori di Spicco
Le rilevazioni dei seguenti cinque autori hanno ricevuto la maggiore attenzione dagli specialisti della sicurezza informatica che si affidano alla piattaforma SOC Prime per migliorare la sicurezza informatica delle loro organizzazioni:
Siamo felici di annunciare che ad agosto, Aung Kyaw Min Naing ha raggiunto il traguardo di 10 contributi di successo nel 2024 e ha ricevuto un badge digitale come Contributore Affidabile alla piattaforma SOC Prime.
A settembre, ci aspettiamo di rilasciare più badge ai membri attivi del Programma Threat Bounty per riconoscere e riconoscere le loro competenze nell’utilizzo di più funzionalità di Uncoder AI per l’ingegneria delle rilevazioni. Siamo felici che i membri di Threat Bounty trovino Uncoder AI utile per ottenere risultati all’interno del Programma Threat Bounty e utilizzino anche lo strumento come coach per espandere la loro esperienza nel campo.
Cerchi un’opportunità per aggiornare le tue competenze in ingegneria delle rilevazioni con tecnologia assistita dall’AI e diventare parte della difesa cibernetica collettiva? Inizia con il Programma Threat Bounty oggi.
