SOC Prime Threat Bounty Digest — Risultati di Ottobre 2023

Scopri le novità nel programma Threat Bounty di SOC Prime e i risultati di ottobre.

Sottomissioni di contenuti Threat Bounty

Siamo felici che gli autori delle regole Threat Bounty investano il loro tempo nella validazione delle loro rilevazioni con Warden e nella ricerca di rilevazioni esistenti, il che li aiuta ad evitare duplicati mentre creano e inviano regole per la monetizzazione. In ottobre, il team di SOC Prime ha ricevuto 477 regole per la verifica prima della pubblicazione sulla Piattaforma SOC Prime. Dopo la validazione e valutazione standard, 90 regole sono state approvate per la pubblicazione.

Esplora le rilevazioni

Il Programma Threat Bounty accoglie nuovi autori di contenuti entusiasti in questi giorni, e invitiamo tutti loro a unirsi al server Discord e ai canali privati dedicati per le discussioni su Threat Bounty. Inoltre, per garantire che tutti i nuovi membri siano consapevoli dei criteri di accettazione dei contenuti e degli standard di SOC Prime, incoraggiamo tutti gli autori a guardare i webinar di SOC Prime e leggere il nostro blog. 

Regole di rilevazione TOP Threat Bounty

Queste rilevazioni inviate dai membri di Threat Bounty sono state le più richieste dalle organizzazioni che utilizzano la Piattaforma SOC Prime:

1. Modifica sospetta della chiave di registro per l’attacco HTTP/2 Rapid Reset (CVE-2023-44487) Rilevazione (tramite registry_event) regola Sigma di caccia alle minacce di Davut Selcuk rileva potenziali attività di attacco HTTP/2 Rapid Reset relative a CVE-2023-44487.
2. Possibile tentativo di sfruttamento di CVE-2023-42793 (Aggiramento autentificazione che porta a RCE su JetBrains TeamCity Server) (tramite proxy) regola Sigma di caccia alle minacce di Aykut Gürses identifica un possibile tentativo di sfruttamento di CVE-2023-42793 (Aggiramento autentificazione che porta a RCE su JetBrains TeamCity Server), che può far parte di una catena di RCE TeamCity. Basato su POC pubblicamente disponibile.
3. Possibile tentativo di sfruttamento di CVE-2023-40044 (Gravi difetti RCE Pre-Auth in WS_FTP Server) (tramite proxy) regola Sigma di caccia alle minacce di Aykut Gürses si basa su POC pubblicamente disponibile e identifica possibili tentativi di sfruttamento di CVE-2023-40044 (Gravi difetti RCE Pre-Auth in WS_FTP Server), che possono far parte di una catena di RCE TeamCity.
4. Attività di enumerazione sospetta per trovare l’utente abilitato con comando Powershell associato alla crittografia delle password reversibile (tramite ps_script) regola Sigma di caccia alle minacce di Mustafa Gurkan KARAKAYA rileva possibili attività di enumerazione per scoprire l’utente abilitato con la funzione di crittografia delle password reversibile su Active Directory. Gli aggressori possono tentare di identificare utenti con questa funzione e provare a ottenere le loro informazioni password in chiaro.
5. Possibile tentativo di sfruttamento di CVE-2023-40044 nei moduli IIS di WS_FTP e Ad Hoc Transfer (tramite web server) regola Sigma di caccia alle minacce di Sittikorn Sangrattanapitak rileva potenziali tentativi di sfruttamento contro la vulnerabilità di esecuzione di codice remoto (RCE) (CVE-2023-40044) in WS_FTP.

Autori di punta

Basato su come gli utenti della Piattaforma SOC Prime hanno utilizzato il contenuto di rilevazione disponibile sulla Piattaforma, le rilevazioni di questi autori sono state le più richieste:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Emir Erdogan

Sei curioso di pubblicare le tue rilevazioni sulla Piattaforma SOC Prime? Unisciti al Programma Threat Bounty e aiuta le aziende in tutto il mondo a resistere alle minacce informatiche.