Resoconto del Programma Threat Bounty — Risultati di Maggio 2024
Indice:
Pubblicazioni
A maggio, il nostro team di verifica contenuti ha ricevuto oltre 300 invii per la revisione. Dopo la revisione e, in alcuni casi, ripetute revisioni con correzioni minori al codice, 59 nuove regole di rilevamento minacce uniche da parte del Programma Threat Bounty autori di contenuti sono state pubblicate con successo sul Threat Detection Marketplace.
Gli invii che sono stati rifiutati non soddisfacevano i criteri di accettazione per la pubblicazione. Vogliamo ricordare a tutti i membri del Programma Threat Bounty che pianificano di pubblicare il loro contenuto sulla piattaforma SOC Prime per la monetizzazione di considerare i requisiti di contenuto durante la creazione e la sottomissione delle vostre regole Threat Bounty.
Le regole di rilevamento che non possono essere utilizzate efficacemente per il rilevamento comportamentale delle minacce nelle condizioni reali negli ambienti di produzione delle aziende non vengono accettate per la pubblicazione da SOC Prime. Per mantenere il livello di professionalità dei nostri autori attivi di Threat Bounty allineato con la reale domanda di algoritmi di rilevamento comportamentale delle minacce attuabili, parliamo dei nostri standard e tecnologie nei webinar e workshop di SOC Prime e raccomandiamo di seguire le nostre attività per rimanere aggiornati e sviluppare le vostre abilità e interessi professionali di conseguenza.
Le migliori regole di rilevamento Threat Bounty
Queste cinque regole di rilevamento pubblicate dai membri del Programma Threat Bounty hanno dimostrato la migliore corrispondenza con la domanda delle organizzazioni che utilizzano la piattaforma SOC Prime per migliorare le loro operazioni di sicurezza:
Attività di esecuzione malware sospetta IcedID (noto anche come Latrodectus [IceNova]) rilevata tramite comandi associati (via process_creation) – regola di caccia alle minacce Sigma di Davut Selcuk mira a identificare attività di esecuzione sospette relative al malware IcedID (noto anche come Latrodectus [IceNova]) monitorando gli eventi di creazione processo.
Possibile attività del ransomware ShrinkLocker per abusare di Microsoft Bitlocker tramite modifica della chiave del registro associata (via registry_event) – la regola di caccia alle minacce Sigma di Emre Ay rileva il comportamento del ransomware Shrinklocker che tenta di modificare un valore del registro, permettendogli di abusare di Microsoft Bitlocker.
Attività di esecuzione malware sospetta Latrodectus (IceNova) rilevata da rundll32.exe (via process_creation) – regola di caccia alle minacce Sigma di Davut Selcuk che rileva attività di esecuzione sospette associate al malware Latrodectus (IceNova) sfruttando rundll32.exe per l’esecuzione.
Possibile attività di modifica della chiave del registro di ShrinkLocker Ransomware per abusare di Bitlocker (via registry_event) – regola di caccia alle minacce Sigma di Emre Ay rileva la modifica sospetta della chiave del registro associata eseguita dal ransomware ShrinkLocker per abusare del valore del registro relativo a BitLocker.
Attività sospetta e malevola di C2 di ‘MuddyWater contro un obiettivo del Medio Oriente’ rilevata tramite comando PowerShell – regola di caccia alle minacce Sigma di Aung Kyaw Min Naing. Questa regola rileva l’esecuzione malevola di PowerShell da parte di MuddyWater contro un obiettivo del Medio Oriente per abusare della chiave del registro AutodialDLL e carica DLL per il framework C2.
Principali Autori
I seguenti contributori di regole di rilevamento delle minacce condivise al Programma Threat Bounty hanno raggiunto le posizioni di massimo rating grazie ai loro contributi, basati su come le loro rilevazioni Threat Bounty sono state utilizzate dalle organizzazioni tramite la piattaforma SOC Prime:
Due autori delle regole di rilevamento Threat Bounty, Joseph Kamau and Bogac Kaya, hanno raggiunto il traguardo di 10 pubblicazioni di successo quest’anno e sono riconosciuti come Contributori Fidati di SOC Prime.
Cambiamenti imminenti
I cambiamenti agli strumenti del Programma Threat Bounty che sono stati descritti nei precedenti digest mensili saranno implementati presto. In particolare, i membri del Programma Threat Bounty inizieranno a utilizzare Uncoder AI per le loro pubblicazioni e il tracciamento dei progressi di Threat Bounty. Il Developer Portal, così come il Sigma Rules Slack Bot, non saranno più supportati e non verranno utilizzati per il Programma Threat Bounty. Le linee guida per gli utenti saranno disponibili sul Centro di Aiuto di SOC Prime, e i membri del programma potranno provare il nuovo strumento per inviare i loro rilevamenti dopo che l’Uncoder AI sarà pronto per l’uso per le regole Threat Bounty. Restate sintonizzati per i nostri prossimi annunci riguardo al Programma Threat Bounty!
