SOC Prime Threat Bounty Digest — Risultati di Gennaio 2024
Indice:
Contenuto Threat Bounty
A gennaio, i membri del Programma Threat Bounty sono stati molto attivi nel presentare rilevamenti per la revisione da parte del team di verifica dei contenuti di SOC Prime. Dopo la verifica e l’esame delle regole suggerite, 44 rilevamenti sono stati pubblicati sul Threat Detection Marketplace, sebbene alcune regole richiedessero modifiche minori e fossero restituite agli autori per le correzioni finali.
Come di consueto, il nostro team è disponibile a rispondere a domande riguardo ai criteri di accettazione dei contenuti sul server Discord di SOC Prime. Man mano che la piattaforma SOC Prime evolve, i criteri di accettazione dei contenuti cambiano anch’essi, ed è essenziale che tutti gli autori, indipendentemente dalla loro esperienza con le pubblicazioni Threat Bounty, comprendano quale codice di rilevamento sia accettato per la pubblicazione. Questo può aiutare gli autori di contenuti a investire il loro tempo nella ricerca e sviluppo di regole Threat Bounty in modo più ragionevole ed efficiente.
REGOLE DI RILEVAMENTO PRINCIPALI Threat Bounty
Questi cinque rilevamenti pubblicati nel contesto del Programma Threat Bounty sono stati i più popolari tra le organizzazioni che utilizzano la piattaforma SOC Prime per migliorare le loro operazioni di sicurezza:
Tentativo di sfruttamento della vulnerabilità di autenticazione bypass sospetta di Ivanti Pulse Connect Secure [CVE-2023-46805] (via proxy) – una regola Sigma di threat hunting di Mustafa Gurkan KARAKAYA rileva possibili tentativi di sfruttamento della vulnerabilità di autenticazione bypass di Ivanti [CVE-2023-46805] tramite richiesta associata.
Registro eventi cancellato utilizzando Diagnostica (via PowerShell) – regola Sigma di threat hunting di Michel de Crevoisier. Questa regola rileva scenari in cui un attaccante tenta di cancellare i registri degli eventi.
Possibile accesso iniziale tramite sfruttamento della vulnerabilità RCE di Ivanti Connect Secure VPN [CVE-2024-21887] (via webserver) – regola Sigma di threat hunting di Kaan Yeniyol. Questa regola rileva una vulnerabilità di injection di comandi nei componenti web di Ivanti Connect Secure (9.x, 22.x) e Ivanti Policy Secure (9.x, 22.x), permettendo a un amministratore autenticato di inviare richieste appositamente modificate ed eseguire comandi arbitrari sul dispositivo.
Caricamento di DLL sospetta senza passare alcun parametro manipolando la funzione AutoRegister di RegSvr (via process_creation) – rilevamento di Mustafa Gurkan KARAKAYA. Questa regola rileva un’attività di aggiunta di chiavi di registro per manipolare la funzione autoregister di regsvr.
Rileva distribuzione ransomware tramite TeamViewer (via cmdline) – regola di threat hunting di Furkan Celik rileva una possibile distribuzione iniziale di ransomware, che viene avviata con un file di estensione .bat eseguito dal desktop dell’utente. Successivamente viene utilizzato il processo rundll32 con il file di estensione .bat.
Autori Top
Le regole Threat Bounty di questi cinque autori sono state le più popolari tra gli utenti del Threat Detection Marketplace :
Nattatorn Chuensangarun – 112 rilevamenti sono stati utilizzati dalle organizzazioni che utilizzano SOC Prime, inclusi 6 regole pubblicate durante il mese precedente.
Osman Demir – 80 rilevamenti di questo autore sono stati utilizzati dai clienti di SOC Prime. Tutti i rilevamenti sono stati pubblicati in precedenza.
Davut Selcuk – 27 regole di questo autore, inclusi 12 rilevamenti rilasciati di recente, sono stati utilizzati tramite Threat Detection Marketplace dagli utenti di SOC Prime.
Mustafa Gurkan KARAKAYA – 50 regole, inclusi otto rilevamenti pubblicati di recente, hanno aiutato le organizzazioni che utilizzano SOC Prime a migliorare le loro capacità di rilevamento delle minacce.
Sittikorn Sangrattanapitak – 90 regole di rilevamento, inclusa una rilevamento pubblicato di recente, sono state utilizzate dalle organizzazioni che utilizzano SOC Prime.
Inoltre, vorremmo menzionare gli autori le cui rilevamenti sul Threat Detection Marketplace dimostrano il miglior rapporto visualizzazioni/download, il che significa che le rilevamenti vengono scaricate o implementate dai clienti SOC Prime dopo aver visualizzato il codice:
Ccontribuisci alla difesa collettiva nel cyber spazio con le tue stesse regole di rilevamento tramite Programma Threat Bounty, e ottieni premi per il tuo impatto.
