SOC Prime Threat Bounty Digest — Risultati di Dicembre 2024
Indice:
Creazione, Invio e Rilascio di Contenuti di Rilevazione
Dicembre è stato un altro mese impressionante per il Threat Bounty Program, con la comunità che ha mostrato uno spirito collaborativo e abilità nell’ingegneria delle rilevazioni.
Nonostante il trambusto di fine anno, i membri del Programma hanno continuato attivamente a inviare rilevazioni per affrontare le minacce emergenti. In totale, 33 nuove regole di rilevazione sono state rilasciate con successo sulla piattaforma SOC Prime dopo essere state validate dal team di esperti di SOC Prime.
Modifiche in corso e Miglioramenti del Programma
A partire da gennaio 2025, abbiamo temporaneamente sospeso l’accettazione di nuove segnalazioni di Threat Bounty. Mentre le attività del Threat Bounty Program sono in pausa, stiamo lavorando su diversi miglioramenti della piattaforma SOC Prime che mirano a migliorare l’esperienza complessiva per tutti gli utenti e ad ampliare le opportunità per i membri del Threat Bounty Program, inclusa la sottomissione di contenuti in formati diversi e altri modi per monetizzare il tuo lavoro. Vedi i dettagli qui.
Nel frattempo, i membri della comunità SOC Prime possono esplorare i piani di abbonamento per utenti individuali e incorporare alcune delle funzionalità premium della piattaforma nei loro progetti di ingegneria delle rilevazioni.
LE Migliori Regole di Dicembre degli Autori di Threat Bounty
Durante l’ultimo mese dell’anno, le seguenti regole di rilevazione hanno guadagnato la maggiore popolarità tra le aziende che utilizzano SOC Prime per migliorare le loro operazioni di cybersecurity:
Uso di Rundll32 per l’Exploitation di LOLBin (tramite process_creation) by Bogac KAYA. Questa regola rileva l’esecuzione di rundll32 sfruttando windows.storage.dll per invocare ShellExec_RunDLL.
Possibile Tentativo di Escalation di Privilegi per Ottenere Utente SYSTEM con Comando Powershell come Modulo (tramite ps_script) by Mustafa Gurkan KARAKAYA. Questa regola rileva possibili comandi malevoli che possono essere utilizzati per creare un’attività pianificata, eseguire un comando su un server remoto, avviare un lavoro con un account gMSA specifico e compiere tutte queste azioni con privilegi di SYSTEM.
Esecuzione Sospetta di TA4557/FIN6 Invocando Malware More_Eggs tramite WMI Provider Host Service (tramite process_creation) by Nattatorn Chuensangarun – Questa regola rileva l’attività sospetta di TA4557/FIN6 che rilascia file DLL malevolo per distribuire il malware More_Eggs tramite il servizio hosting WMI provider.
Possibile Attività di Persistenza del Gruppo APT35 Creando Suspicious Registry RunKey (tramite registry_event) by Emre Ay. Questa regola rileva la creazione sospetta di un runkey di registro legata al gruppo APT35 che tenta di mantenere la persistenza sul sistema vittima e caricare silenziosamente il programma malevolo.
Possibile Attività di Persistenza del Ransomware BlackCat Creando un’Attività Pianificata Sospetta (tramite process_creation) by Emre Ay. Questa regola rileva l’esecuzione di schtasks con un parametro taskrun sospetto per mantenere la persistenza sul sistema vittima ed eseguire il malware.
Autori di Threat Bounty: TOP 5 di Dicembre
Questi autori hanno ottenuto il punteggio più alto per le loro regole del Threat Bounty:
Mentre il Threat Bounty Program evolve, la sua missione principale rimane la stessa: abilitare la collaborazione, l’innovazione e l’impatto all’interno dell’industria della cybersecurity e migliorare la difesa cibernetica globale. Siamo grati agli autori di Threat Bounty che hanno lavorato insieme rafforzando le difese del mondo contro gli attacchi informatici.
Resta aggiornato per ulteriori notizie e aggiornamenti!
