Rapporto sul Programma di Ricompense per le Minacce — Risultati di Luglio 2024
Indice:
Creazione, presentazione e rilascio di contenuti di rilevamento
I membri della comunità Threat Bounty continuano a esplorare e sfruttare il potenziale di Uncoder AI per sviluppare le proprie competenze pratiche di ingegneria del rilevamento e monetizzare le proprie regole di rilevamento con la piattaforma SOC Prime.
A luglio, 37 nuove rilevazioni dei membri del programma Threat Bounty sono state rilasciate con successo sulla Threat Detection Marketplace. Inoltre, la qualità del contenuto di rilevamento inviato è migliorata, sebbene molte regole siano state rifiutate per il rilascio a causa della duplicazione parziale del rilevamento con i contenuti di rilevamento già esistenti. Un’altra ragione per la negata pubblicazione è che la logica di rilevamento delle regole presentate potrebbe essere facilmente bypassata negli ambienti delle organizzazioni, quindi tali regole non possono essere accettate da SOC Prime per la pubblicazione e la monetizzazione.
Se sei interessato a creare le tue regole di rilevamento con Uncoder AI e a farle pubblicare sulla piattaforma SOC Prime per la monetizzazione, questi sono i passaggi da seguire:
- Richiedi di partecipare al programma Threat Bounty. Nella sezione commenti del modulo di candidatura, specifica la tua esperienza professionale.
- Una volta che il team SOC Prime esamina e approva la tua candidatura, riceverai accesso esteso a Uncoder AI con le funzionalità per i membri Threat Bounty.
- Configura un repository di contenuti personalizzato sulla piattaforma. Utilizzerai questo repo per memorizzare le regole che hai creato.
- Crea, valida, salva e invia le tue regole di rilevamento per la revisione utilizzando Uncoder AI. Questa guida video fornisce istruzioni passo-passo più specifiche su come lavorare con le regole di rilevamento con Uncoder AI.
- Quando le tue rilevazioni vengono rilasciate sulla piattaforma SOC Prime, controlla le classifiche per trovare i dettagli.
Non esitare a unirti al server Discord di SOC Prime per le discussioni. Per ricevere accesso ai canali privati per i membri Threat Bounty, contatta il moderatore del server. Incoraggiamo tutti i membri del programma Threat Bounty a utilizzare Uncoder AI per sviluppare le proprie competenze nella creazione di regole di rilevamento e a ottenere una comprensione più profonda delle peculiarità del rilevamento delle minacce in diversi formati.
Regole di rilevamento Bounty di minacce TOP
Le seguenti cinque regole di rilevamento delle minacce dei membri del programma Threat Bounty sono state le più popolari a luglio 2024:
Potenziale sfruttamento di vulnerabilità di convalida input in ServiceNow (CVE-2024-4879) — regola di Emir Erdogan. Questa regola identifica possibili tentativi di sfruttare la vulnerabilità di convalida dell’input in ServiceNow tramite i log del server web.
Rilevamento dell’esecuzione della riga di comando del ransomware Akira (via cmd line) — regola di Mise, basata sulla ricerca di REXor. Questa regola rileva modelli specifici di esecuzione della riga di comando associati al ransomware Akira.
Possibile abuso di Microsoft Bitlocker modificando la chiave di registro associata (via registry_event) — la regola di Emre Ay rileva possibili tentativi di modificare la chiave di registro associata, che consente l’abuso di Microsoft Bitlocker.
Possibile attività sospetta del ransomware Volcano Demon (LukaLocker) (via commandLine) – regola di Emir Erdogan che identifica possibili attività malevole, ovvero, interruzione del servizio e riavvio delle attività del computer del gruppo ransomware Volcano Demon con l’aiuto di parametri della riga di comando.
Possibili tentativi di esecuzione di codice remoto in GeoServer mediante la valutazione delle espressioni dei nomi delle proprietà (CVE-2024-36401) – un’altra regola di Emir Erdogan che rileva potenziali tentativi di sfruttamento della vulnerabilità di esecuzione di codice remoto non autenticato in GeoServer (CVE-2024-36401) tramite i log del server web.
Top Autori
Le regole di rilevamento di questi cinque membri del programma Threat Bounty hanno attirato maggiormente l’attenzione a luglio:
A luglio, Kyaw Pyiyt Htet ha ricevuto un badge di Collaboratore Fidato da SOC Prime per riconoscere il suo contributo alle regole di rilevamento sulla piattaforma SOC Prime. Abbiamo anche avuto un incontro perspicace con Kyaw Pyiyt Htet, durante il quale ci ha raccontato del suo successo personale e di come la sua partecipazione al programma Threat Bounty lo abbia aiutato a raggiungere nuovi orizzonti nella sua carriera.
Unisciti al programma Threat Bounty per migliorare le tue competenze professionali e sviluppare il tuo marchio personale!
