SOC Prime Threat Bounty Digest — Risultati di Settembre 2024

[post-views]
Ottobre 08, 2024 · 4 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Settembre 2024

Creazione, Invio e Rilascio di Contenuti di Rilevamento

A settembre, il Programma di Bounty per le Minacce ha registrato una crescita significativa, con un aumento delle presentazioni di regole di rilevamento per la verifica e un numero maggiore di rilasci di successo delle regole Threat Bounty sulla piattaforma SOC Prime. Rimaniamo impegnati a garantire che tutti i membri del Programma di Bounty per le Minacce sfruttino al massimo il loro accesso a Uncoder AI per monetizzare le loro competenze di ingegneria del rilevamento con SOC Prime.

Pur apprezzando gli sforzi di tutti gli autori delle regole di rilevamento delle minacce, è importante sottolineare che solo le regole che superano la verifica possono essere pubblicate. Riconosciamo che alcuni membri del Programma possano trovare un po’ difficile adattare la loro esperienza con le query specifiche SIEM a regole di rilevamento che soddisfino i nostri requisiti, come la logica di rilevamento complessa e il focus sugli indicatori di attacco, non sugli indicatori di compromissione a basso livello. Tuttavia, questa sfida stimola il progresso professionale dei membri del Programma di Bounty per le Minacce e migliora l’efficacia dei nostri sforzi collettivi di rilevamento delle minacce.

Con il continuo crescere del Programma di Bounty per le Minacce, siamo entusiasti di riconoscere i membri del Programma che utilizzano con abilità Uncoder AI. Questi individui non solo migliorano le loro capacità, ma si distinguono anche nel mercato del lavoro, dimostrando competenza nell’utilizzo della tecnologia e della metodologia che rendono l’ingegneria del rilevamento più efficiente.

Le Migliori Regole di Settembre dagli Autori del Programma di Bounty

Rilevamento dell’Esecuzione Comune di RAT (Strumenti di Amministrazione Remota)—regola Sigma di Emanuele De Lucia. Questa regola rileva l’esecuzione dei RAT più popolari (tramite process_creation).

Possibile Esecuzione di Malware Hadooken Lanciando un Payload per Distribuire Malware Cryptominer Destinato a Applicazioni Weblogic [Linux] (tramite file_event) by Nattatorn Chuensangarun. Questa regola Sigma rileva attività sospette di Malware Hadooken distribuendo un payload elf dannoso per distribuire il malware Cryptominer.

Configurazione Sospetta di Microsoft IIS (Servizi di Informazione su Internet) legata a una Campagna di Manipolazione SEO—regola Sigma del Programma di Bounty di Joseph Kamau. Questa regola rileva modifiche a un’impostazione di configurazione su II, che consente il successo della distribuzione del malware BadIIS su un server IIS compromesso a causa delle carenze del malware (non può comprimere l’output degli script), come visto nella campagna SEO DragonRank.

Rilevamento dell’Esecuzione di Proxy di Binari Firmati Collegato al Malware Latrodectus (tramite CmdLine)—regola di caccia alle minacce Sigma di Kyaw Pyiyt Htet. La regola rileva l’esecuzione di un proxy di binario firmato associato al malware Latrodectus, comunemente diffuso tramite campagne di spam via email.

Impostazione Sospetta di Metodi di Mappatura di Certificati SChannel Deboli (tramite evento registro)—regola di caccia alle minacce Sigma di Sittikorn Sangrattanapitak. Secondo l’autore, questa regola rileva impostazioni deboli del metodo di mappatura dei certificati tramite modifiche al registro. Quando un’applicazione server richiede l’autenticazione del client, SChannel tenta automaticamente di mappare il certificato del client a un account utente corrispondente. Ciò consente l’autenticazione dell’utente tramite certificati client creando mapping che collegano le informazioni del certificato a un account utente Windows.

Autori del Programma di Bounty: TOP 5 di Settembre

Nei momenti salienti di settembre, riconosciamo con orgoglio i primi cinque membri del Programma di Bounty per le Minacce, i cui contributi alla piattaforma SOC Prime hanno dimostrato prestazioni eccezionali. Le loro regole di rilevamento non solo si distinguono per la loro qualità, ma riflettono anche la fiducia riposta negli ingegneri del rilevamento collaborativi dalle organizzazioni che sfruttano la piattaforma SOC Prime.

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun che ha anche raggiunto il traguardo delle 50 regole rilasciate nel 2024 e ha ricevuto una credenziale digitale come Eccellente Contributore

Davut Selcuk

Emir Erdogan

Osman Demir

Incoraggiamo tutti i membri del Programma di Bounty per le Minacce a continuare a perfezionare le loro regole di rilevamento e a interagire con la comunità sul server Discord di SOC Prime. I vostri contributi e avanzamenti nelle competenze sono vitali per migliorare i nostri sforzi collettivi di difesa informatica. Restate sintonizzati per ulteriori aggiornamenti e opportunità nel Programma di Bounty per le Minacce, e ricordate, ogni regola che create è un passo verso la vostra eccellenza.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Blog, Piattaforma SOC Prime — 5 min di lettura
SOC Prime Threat Bounty Digest — Risultati di Giugno 2024
Alla Yurchenko