SOC Prime Threat Bounty Digest — Risultati di Giugno 2024

Invio e rilascio del contenuto di rilevamento

A giugno, i membri del programma Threat Bounty di SOC Prime hanno iniziato a utilizzare Uncoder AI per creare, convalidare e inviare regole per il riesame prima del rilascio sulla piattaforma SOC Prime. Siamo felici di fornire agli autori lo strumento che li assiste nella creazione di regole di rilevamento di alta qualità per Threat Bounty e supporta il loro avanzamento professionale. Il nostro team è impegnato a equipaggiare ingegneri del rilevamento, specialisti DFIR e analisti SOC con le migliori tecnologie per migliorare le loro competenze tecniche e analitiche, affrontare sfide reali e allineare il loro background professionale alle esigenze del settore, mentre ricompensa gli autori che partecipano attivamente all’iniziativa di rilevamento crowdsourced di SOC Prime. Scopri di più sull’evoluzione del programma Threat Bounty in questo articolo. 

A giugno, i membri del programma hanno pubblicato con successo 24 nuove regole di rilevamento Threat Bounty uniche in grado di identificare comportamenti malevoli. Con l’aiuto della convalida integrata, gli autori dei contenuti hanno migliorato la loro comprensione della sintassi Sigma, il che li ha aiutati a evitare errori comuni in futuro. Il team di verifica osserva un costante miglioramento nelle regole inviate per soddisfare i criteri di accettazione per le presentazioni di Threat Bounty.

Il feedback fornito dal team SOC Prime durante il processo di verifica dei contenuti ha aiutato ad allineare ulteriormente gli sforzi spesi nella ricerca e nella creazione di regole con la necessità di contenuti attuabili per rilevare comportamenti malevoli. Il team di verifica ha ricevuto più regole che soddisfano i criteri di accettazione di Threat Bounty.

Le funzionalità di Uncoder AI, incluso un repository di contenuti privati all’interno della piattaforma SOC Prime, sono disponibili per tutti i membri del programma Threat Bounty, e li incoraggiamo a utilizzare attivamente lo strumento per lo sviluppo personale e professionale e per lavorare con vari tipi di contenuti e formati. Tuttavia, accettiamo ancora solo regole di rilevamento che soddisfano i requisiti del programma, quindi raccomandiamo agli autori che desiderano monetizzare le loro regole di rilevamento di seguire i requisiti ogni volta che desiderano pubblicare la loro regola per la monetizzazione sulla piattaforma SOC Prime.

Regole di Rilevamento Threat Bounty TOP

Le seguenti rilevazioni di Threat Bounty sono state le più citate dalle aziende che utilizzano SOC Prime:

Possibile rilevazione dell’uso di Black Basta Exploit Tool usando vulnerabilità di escalation dei privilegi di Windows per persistenza (CVE-2024-26169) (via registry_set) – regola Sigma per threat hunting creata da Davut Selcuk che rileva l’uso di uno strumento di exploit associato al gruppo ransomware Black Basta, che sfrutta una vulnerabilità di escalation dei privilegi di Windows (CVE-2024-26169) nel servizio di segnalazione degli errori di Windows per ottenere persistenza. Il gruppo cybercriminale Cardinal (aka Storm-1811, UNC4393) è stato collegato allo sfruttamento di questa vulnerabilità come zero-day. Lo strumento di exploit sfrutta il fatto che il file di Windows werkernel.sys usa un descrittore di sicurezza nullo quando crea chiavi di registro.

Possible Detection of WARMCOOKIE Backdoor Execution Linked to Suspicious rundll32.exe Execution Associated Commands (via process_creation) – regola Sigma per threat hunting creata da Davut Selcuk che aiuta a rilevare l’esecuzione sospetta di rundll32.exe associate con il backdoor WARMCOOKIE. WARMCOOKIE è un backdoor utilizzato da attori di minacce per infiltrarsi nei sistemi e comprometterli, comunemente distribuito tramite campagne di phishing con temi di reclutamento. Impiega rundll32.exe per eseguire payload malevoli archiviati in directory temporanee, puntando alla persistenza e al controllo remoto.

Possibile attività del ransomware ShrinkLocker per abusare di Microsoft Bitlocker modificando la chiave di registro associata (via registry_event) – la regola Sigma per threat hunting creata da Emre Ay rileva il comportamento del ransomware Shrinklocker che tenta di modificare un valore di registro, il che gli consente di abusare di Microsoft Bitlocker.

Vulnerabilità di attraversamento directory di SolarWinds Serv-U-FTP (CVE-2024-28995) – regola Sigma per threat hunting creata da Emir Erdogan. Questa regola identifica i tentativi di sfruttamento della vulnerabilità di attraversamento directory di SolarWinds Serv-U-FTP attraverso i log del server web.

Esecuzione di comando sospetto del ransomware STOP attraverso il rilevamento della linea di comando associata (via process_creation) – regola Sigma per threat hunting creata da Emre Ay rileva comandi sospetti relativi al ransomware STOP/DJVU che puntano ad avviare la sua attività malevola tramite comandi associati.

Autori Principali

Le regole di rilevamento Threat Bounty di questi autori sono state le più popolari sulla piattaforma a luglio:

Davut Selcuk

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

Inoltre, Emir Erdogan ha ricevuto un badge digitale come Contributore Affidabile in riconoscimento del suo contributo alla piattaforma SOC Prime quest’anno.

Se desideri seguire il successo degli autori che SOC Prime riconosce regolarmente per le loro presentazioni, ti preghiamo di leggere l’intervista approfondita con Kyaw Pyiyt Htet riconosciuto come uno dei Top 20 contributori di SOC Prime.

Migliora le tue competenze usando Uncoder AI come il tuo IDE per l’ingegneria del rilevamento e monetizza le tue competenze pubblicandole sulla piattaforma SOC Prime con il Programma Threat Bounty.