SOC Prime Threat Bounty Digest — Risultati di Marzo 2024

Pubblicazioni di Threat Bounty

A marzo 2024, 40 regole di rilevamento delle minacce sono state pubblicate con successo sulla piattaforma di SOC Prime tramite il programma Threat Bounty dopo la revisione del nostro Content Team. Sebbene osserviamo un miglioramento complessivo nella qualità delle submission, ci sono anche alcuni malintesi tipici che possono essere riconosciuti negli approcci alla pubblicazione di contenuti da parte di molti autori. Oggi desideriamo condividere queste informazioni con voi, sperando che possano aiutare i collaboratori del Threat Bounty ad ottenere più pubblicazioni di successo.

Le regole di rilevamento basate specificamente sugli IOCs forniti in alcuni post di blog, articoli, newsletter, ecc., non sono le regole che SOC Prime si aspetta dai membri del Threat Bounty come contributo per la pubblicazione. Quando si tratta di ingegneria del rilevamento crowdsourced, vogliamo vedere più contenuti sugli strumenti e regole di rilevamento relative agli aspetti di correlazione di comportamenti specifici.

Per un buon inizio con le pubblicazioni, il nostro team raccomanda ai membri del Programma di seguire le linee guida delineate nella sezione Threat Bounty FAQ del centro assistenza di SOC Prime. Se sentite che avete bisogno di alcune linee guida con un approccio pratico, siete invitati a guardare i webinar di SOC Prime, soprattutto quelli focalizzati su Sigma e la caccia alle minacce, e il Programma Threat Bounty.

Inoltre, il prossimo webinar, che è stato recentemente annunciato su Discord di SOC Prime, si concentrerà sulle comuni difficoltà di coloro che hanno appena iniziato a scrivere regole per il Threat Bounty e fornirà linee guida agli autori interessati e motivati a migliorare il loro tasso di accettazione e il numero medio di pubblicazioni di successo. Siamo aperti a domande, suggerimenti e storie di esperienze personali con le pubblicazioni di Threat Bounty – se avete qualcosa da condividere, fatecelo sapere su Discord. Restate sintonizzati per ulteriori aggiornamenti sulla data e l’ora del webinar.

TOP regole di rilevamento di Threat Bounty

Le seguenti regole pubblicate sulla piattaforma SOC Prime tramite il programma Threat Bounty hanno suscitato il maggior interesse tra gli utenti della piattaforma durante marzo 2024:

1. Possibile distribuzione di Cryptocurrency Miner con comandi di persistenza in ScreenConnect post-exploitation (CVE-2024-1709 & CVE-2024-1708) (via process_creation) – Regola Sigma di Threat Hunting di Davut Selcuk rileva la potenziale distribuzione di cryptocurrency miner e comandi di persistenza durante attività di post-exploitation tramite ScreenConnect. Può identificare sequenze di comandi specifiche che coinvolgono l’esecuzione di schtasks.exe per creare attività pianificate contenenti SentinelUI.exe.
2. Rilevamento della creazione di file sospetti collegati al gruppo APT Water Hydra che sfrutta Microsoft Defender SmartScreen Zero-Day (CVE-2024-21412) (via file_event) – Regola Sigma di Threat Hunting di Davut Selcuk rileva la creazione di file sospetti da parte del gruppo APT Water Hydra, che sfrutta la vulnerabilità di Microsoft Defender SmartScreen (CVE-2024-21412) in campagne mirate ai trader del mercato finanziario.
3. Attività di persistenza sospetta del malware TinyTurla da parte del gruppo di spionaggio russo tramite linea di comando associata (via process_creation) – Regola Sigma di Threat Hunting di Mustafa Gurkan KARAKAYA rileva possibile attività di persistenza del malware TinyTurla creando un servizio associato tramite l’aggiunta di una chiave di registro.
4. Possibile attività di persistenza di RA World Ransomware tramite creazione di servizio sospetto (via security) – Regola Sigma di Threat Hunting di Mustafa Gurkan KARAKAYA rileva possibile attività di persistenza di RA World Ransomware attraverso la creazione di un servizio associato.
5. Possibile accesso iniziale tramite sfruttamento della vulnerabilità di esecuzione di codice remoto di Microsoft Outlook (MonikerLink) [CVE-2024-21413] – Regola Sigma di Threat Hunting di Kaan Yeniyol rileva possibile esecuzione di codice remoto e attacchi NTLM Credential in Microsoft Outlook (CVE-2024-21413).

Autori Top

Mentre siamo ancora in fase di raccolta e convalida di tutte le informazioni necessarie per i pagamenti delle ricompense, mi piacerebbe comunque condividere la lista dei primi cinque autori di Threat Bounty del mese. Durante marzo, gli utenti del Threat Detection Marketplace hanno fatto maggiore riferimento alle regole di rilevamento di questi cinque autori, tra gli altri autori di regole di rilevamento di Threat Bounty:

Nattatorn Chuensangarun

Davut Selcuk

Sittikorn Sangrattanapitak

Emre Ay

Mustafa Gurkan KARAKAYA

Inoltre, all’inizio di questa settimana, cinque membri del programma Threat Bounty hanno ricevuto badge di riconoscimento da SOC Prime come prova del loro contributo prezioso e del raggiungimento di dieci pubblicazioni di successo delle loro regole di rilevamento delle minacce nel 2024. Scopri di più sui badge Threat Bounty e sugli ultimi premi in questo articolo. 

Invitiamo persone qualificate e motivate che sono interessate a sviluppare le proprie competenze nell’ingegneria del rilevamento delle minacce e a guadagnare con i propri contributi a candidarsi per partecipare al Programma Threat Bounty!