SOC Prime Threat Bounty Digest — Risultati di Dicembre 2023
Indice:
Accettazione dei Contenuti del Threat Bounty
Dall’avvio del Programma Threat Bounty, SOC Prime ha fornito ingegneri di rilevazione abili ed entusiasti per allineare le loro competenze alla domanda reale e attuale di contenuti di rilevazione minacce. Nel corso del 2023, abbiamo continuato ad allineare gli sforzi dei membri del Threat Bounty con l’evoluzione della Piattaforma, il che ha comportato alcune modifiche ai criteri di accettazione dei contenuti. Vale a dire, seguiamo rigorosamente le procedure di verifica dei contenuti e le linee guida per la pubblicazione delle regole che si basano su IOC di basso livello, regole progettate per generare avvisi basati su avvisi di altre soluzioni di sicurezza e regole che hanno applicabilità o adattabilità limitata — che è riferita come una “bassa resilienza per un uso a lungo termine sulla Piattaforma SOC Prime.” In SOC Prime, siamo convinti che questo sforzo collettivo e la condivisione del feedback incoraggino lo sviluppo di competenze professionali che sono vitali nell’industria della cybersecurity al giorno d’oggi.
Speriamo che tutti i membri del Programma Threat Bounty tengano conto delle regole di accettazione dei contenuti e prestino attenzione alle raccomandazioni generali che ricevono riguardo al miglioramento dei contenuti o come motivo di rifiuto della pubblicazione.
Principali Regole di Rilevazione Threat Bounty del Mese
Le seguenti rilevazioni dai sviluppatori del Threat Bounty sulla Piattaforma SOC Prime sono state le più popolari:
Possibile Rilevazione di Persistenza da Parte del Gruppo APT38/Lazarus della Corea del Nord tramite Rilevazione di Parametri della Riga di Comando Associati (tramite process_creation) – regola di caccia alle minacce di Davut Selcuk che identifica potenziali indicatori di persistenza da parte del Gruppo APT38/Lazarus della Corea del Nord, sfruttando la rilevazione di parametri della riga di comando associati.
Possibile Esecuzione di Codice VBA Dannoso in Documenti Excel o Word tramite Rilevazione di Comandi Associati (tramite ps_script) – regola di caccia alle minacce di Emre Ay che rileva gli attori delle minacce che tentano di eseguire codice VBA dannoso in documenti Excel o Word usando comandi PowerShell sospetti.
Cambiamento Sospetto della Chiave di Registro di Attività Malware DarkGate (tramite registry_event) – regola di caccia alle minacce di Davut Selcuk che rileva modifiche alle chiavi di registro associate al DarkGate.
Possibile Esecuzione di Malware Agent Racoon Usando Plugin PowerShell per Estrarre Email in Ambienti MS Exchange con Blocco di Script PowerShell – regola di caccia alle minacce di Nattatorn Chuensangarun rileva attività malware sospette di Agent Racoon usando il plugin PowerShell per eseguire file pst dannosi all’interno della directory di sistema IIS (inetsrv) per l’estrazione di email in ambienti MS Exchange.
Possibile Attività di Minaccia Ransomware su Tutte le Macchine Virtuali ESXi e Cancellazione dei Loro Snapshots tramite VIM-CMD – regola di caccia alle minacce di Kaan Yeniyol rileva la cancellazione di snapshots e macchine virtuali su dispositivi ESXi usando il comando VMSVC. I gruppi Ransomware, una volta compromessi i sistemi ESXi, cancellano gli snapshots associati ai dispositivi e cifrano i file.
Principali Autori del Mese
Sebbene a volte i membri del Threat Bounty cessino le loro attività con il Programma e non abbiano più i privilegi come autori attivi del Threat Bounty, le loro rilevazioni continuano a permettere alle imprese che utilizzano SOC Prime di resistere alle minacce informatiche:
I seguenti autori hanno dimostrato un contributo eccezionale con i loro contenuti di rilevazione che hanno superato la verifica di qualità del team SOC Prime:
Rimanete sintonizzati per le notizie, aggiornamenti e discussioni della community per essere tra i primi a conoscere i prossimi cambiamenti del Programma Threat Bounty, e non esitate a consentire alle aziende di tutto il mondo di difendersi dalle minacce emergenti con le vostre rilevazioni Threat Bounty supportate dalle innovazioni di SOC Prime.
