Riepilogo del Programma di Ricompense di Minaccia SOC Prime — Risultati di Settembre 2023
Indice:
Incontra il nuovo Programma Threat Bounty digest che copre le notizie recenti e gli aggiornamenti dell’iniziativa di engineering di rilevamento crowdsourced di SOC Prime.
Invii di Contenuti Threat Bounty
A settembre, i membri del Programma Threat Bounty hanno presentato 629 regole per la revisione da parte del team di SOC Prime prima della pubblicazione per la monetizzazione. Dopo la revisione e la valutazione della qualità, insieme a numerose iterazioni per miglioramenti ove possibile, 90 regole sono state approvate per la pubblicazione sulla piattaforma SOC Prime.
Per garantire che sia gli sviluppatori di contenuti Threat Bounty che la comunità globale della cybersecurity possano trarre il massimo valore dalla piattaforma SOC Prime, abbiamo introdotto una serie di miglioramenti ai flussi di lavoro e alle comunicazioni esistenti del Programma Threat Bounty. Ad esempio, per garantire che i how-to sullo sviluppo di contenuti Threat Bounty siano conosciuti e disponibili per i membri del Programma, abbiamo lanciato un canale dedicato su server Discord di SOC Prime per la condivisione delle conoscenze e delle esperienze con i colleghi.
Pertanto, SOC Prime introduce cambiamenti nei flussi di lavoro attuali, inclusa la comunicazione e supervisione da parte del team di engineering di rilevamento di SOC Prime, l’accettazione delle regole, il processo di revisione e i premi. I cambiamenti introdotti sono necessari per garantire l’ulteriore sviluppo del Programma Threat Bounty e la sua maturità, nonché per allineare l’engineering di rilevamento crowdsourced alle esigenze della comunità per il rilevamento proattivo delle minacce e la ricerca delle minacce.
PRINCIPALI Regole di Rilevamento Threat Bounty
Queste sono le regole che hanno catturato maggiormente l’attenzione dai clienti della piattaforma esistenti:
- Possibile Targeting Lokibot Documento Microsoft Office Usando Vulnerabilità Note dalla Rilevazione di Comandi Associati (attraverso process_creation) – una regola di hunting delle minacce di Emre AY. Questa regola rileva la campagna Lokibot che mira a documenti Microsoft Office utilizzando vulnerabilità tramite comandi associati.
- Possibile Attività della Campagna Steal-It per Impostare Variabile d’Ambiente dalla Rilevazione di Comandi Associati (attraverso process_creation) – una regola di hunting delle minacce di Mustafa Gurkan KARAKAYA. Questa regola rileva la possibile esecuzione di comando di una campagna steal-it per impostare variabile d’ambiente con una posizione di file sospetta.
- Esecuzione Sospetta di Ransomware Akira tramite Rilevamento di Parametri Associati (via cmdline) – una regola di hunting delle minacce di Osman Demir. Questa regola rileva una possibile campagna di attacco, e il malware eseguito con un parametro specifico svolge attività di ransomware.
- Possibile Attività di Enumerazione del Ransomware BlackCat (alias ALPHV) tramite Rilevazione di Comando Powershell Associato (via ps_script) – regola di hunting delle minacce di Mustafa Gurkan KARAKAYA.
- Possibile Attivazione dell’Agent di Apple Remote Desktop per Eseguire Codice in Remoto e Movimento Lateriale tramite Rilevazione di Comando Associato (attraverso process_creation) – regola di hunting delle minacce di Emre AY. Questa regola rileva gli avversari che tentano di abilitare la gestione del desktop remoto per l’accesso remoto al sistema operativo per tutti gli utenti con tutti i privilegi eseguendo un comando kickstart.
Autori Principali
Questi autori delle regole di rilevamento Threat Bounty hanno tradizionalmente ottenuto maggiori interazioni con i loro contenuti da parte degli utenti della piattaforma:
Incoraggiamo gli sviluppatori entusiasti di regole di rilevamento SIEM a unirsi al Programma Threat Bounty di SOC Prime e contribuire alla difesa informatica collettiva mentre creano un portfolio personale con il leader di mercato e crescono professionalmente nella comunità globale della cybersecurity.
