SOC Prime Threat Bounty Digest: Risultati di Febbraio 2024
Indice:
Pubblicazioni di Threat Bounty
A febbraio, i membri del programma Threat Bounty hanno sottoposto più di 350 rilevamenti per la revisione del SOC Prime Team. Dopo la revisione da parte del team di verifica dei contenuti, 70 regole sono state pubblicate con successo sulla Piattaforma SOC Prime. Durante la verifica, il SOC Prime Team ha fornito più di 400 spiegazioni per il rifiuto dei contenuti e raccomandazioni per miglioramenti delle regole dove possibile. È importante che gli autori comprendano che tutte le regole vengono esaminate una per una, a partire da quelle ricevute per la revisione in precedenza, e qualsiasi modifica alla regola, comprese le correzioni, inizia automaticamente una nuova iterazione di verifica della regola.
Siamo stati felici di parlare con il membro di Threat Bounty Phyo Paing Htun il che ha comportato un intervista perspicace sul blog di SOC Prime, e un breve video in cui Phyo Paing Htun condivide la sua esperienza e approcci alla creazione di regole per la pubblicazione di Threat Bounty.
Notizie Threat Bounty
Siamo entusiasti di annunciare l’imminente introduzione delle credenziali digitali dal programma SOC Prime Threat Bounty con Credly di Pearson. Le credenziali digitali rappresentano un passo significativo nell’attenzione e competenza dei membri della community Threat Bounty, fornendo loro un simbolo tangibile dei loro successi sin dal lancio dell’iniziativa Threat Bounty, nonché il riconoscimento dei loro successi attuali. Restate sintonizzati mentre intraprendiamo questo viaggio per celebrare e potenziare gli autori delle regole di rilevamento all’interno del programma Threat Bounty.
TOP Regole di rilevamento Threat Bounty
Le seguenti cinque regole di rilevamento sono state le più richieste tra le organizzazioni che utilizzano la Piattaforma SOC Prime per migliorare le loro capacità di rilevamento delle minacce:
Possibile Sfruttamento (CVE-2023-46805 / CVE-2024-21887) delle vulnerabilità di Ivanti Connect Secure Auth Bypass e Command Injection (tramite server web) – regola di caccia alle minacce Sigma di Davut Selcuk che rileva un potenziale sfruttamento delle vulnerabilità di Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887) legate all’autenticazione bypass e all’injection di comandi.
Possibile Accesso Iniziale tramite Sfruttamento della Vulnerabilità di Esecuzione di Codice Remota di Microsoft Outlook (MonikerLink) [CVE-2024-21413] – regola di caccia alle minacce di Kaan Yeniyol che rileva l’esecuzione di codice remoto e attacchi di credenziali NTLM in Microsoft Outlook (CVE-2024-21413). Questa vulnerabilità può portare alla fuga locale di credenziali NTLM e all’esecuzione di codice quando gli attaccanti aprono e-mail contenenti link malevoli.
Tentativo di Sfruttamento della Vulnerabilità di Autenticazione Bypass Ivanti Pulse Connect Secure [CVE-2023-46805] (tramite proxy) – regola di caccia alle minacce Sigma di Mustafa Gurkan KARAKAYA rileva un possibile tentativo di sfruttamento della vulnerabilità di autenticazione bypass di Ivanti [CVE-2023-46805] tramite richiesta associata.
Possibile Accesso Iniziale tramite Sfruttamento della Vulnerabilità di Esecuzione di Codice Remota di Ivanti Connect Secure VPN [CVE-2024-21887] (tramite server web) – regola di caccia alle minacce di Kaan Yeniyol che rileva una vulnerabilità di injection di comandi nei componenti web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), che consente a un amministratore autenticato di inviare richieste appositamente progettate ed eseguire comandi arbitrari sul dispositivo.
Possibile Escalation di Privilegi tramite TrustedInstaller per Dump di Lsass rilevando comandi associati (tramite creazione_processi) – regola di caccia alle minacce Sigma di Davut Selcuk che identifica potenziali tentativi di escalation di privilegi rilevando attività relative alla disattivazione di SeDebugPrivilege. Si concentra specificamente su tecniche che sfruttano l’account TrustedInstaller per bypassare le restrizioni di privilegio, consentendo il dump della memoria mediante strumenti come ProcDump per lsass.exe.
Autori Top
Le regole di rilevamento di Threat Bounty di questi autori sono state particolarmente interessanti e utili per le aziende che utilizzano la Piattaforma SOC Prime per le loro operazioni di sicurezza giornaliere:
Davut Selcuk – ha pubblicato 25 nuove regole a febbraio, e un totale di 58 dei suoi rilevamenti, comprese le regole pubblicate in precedenza, sono state utilizzate dalle aziende cliente di SOC Prime.
Emre Ay ha pubblicato 12 nuove regole e le aziende sulla Piattaforma SOC Prime hanno scaricato un totale di 38 dei suoi rilevamenti.
Sittikorn Sangrattanapitak – 58 regole uniche, comprese 6 regole pubblicate durante febbraio, sono state scaricate.
Nattatorn Chuensangarun – 45 rilevamenti, comprese 4 regole pubblicate a febbraio, sono stati scaricati dalle aziende tramite la Piattaforma SOC Prime.
Osman Demir – 40 regole di rilevamento, compresa una regola pubblicata a febbraio, sono state scaricate, e i risultati sono stati inclusi nei risultati di febbraio di Threat Bounty.
Non esitare a unirti al Programma Threat Bounty e contribuisci all’iniziativa collettiva di ingegneria del rilevamento che consente alle aziende in tutto il mondo di resistere alle minacce emergenti, mantenendo il tuo focus sull’ingegneria del rilevamento per casi reali che affrontano la domanda attuale delle organizzazioni in tutto il mondo.
Â
