SOC Prime脅威バウンティダイジェスト — 2023年8月の結果

Threat Bounty月次ダイジェストは、 SOC Prime Threat Bountyコミュニティで何が起こっているのかをカバーします。毎月、プログラムのニュースやアップデートを公開し、Threat Bountyコンテンツの検証中の観察と分析に基づいて、コンテンツの改善に関する推奨事項を提供します。

Threat Bountyコンテンツの提出

8月には、Threat BountyプログラムのメンバーがSOC Primeチームによるレビューのために625のルールを提出しました。ルールは rule Wardenによる自動検証を受けますが、専門家のチームによる徹底した調査と検証によって、最高品質の検出だけがSOC Primeプラットフォームで利用可能であることを保証します。レビューと提案された改善の後、Threat Bountyメンバーによる103のSigmaルールがThreat Detection Marketplaceに公開され、サブスクリプションプランに応じてプラットフォームユーザーが利用できます。

検出を探検する

数ヶ月または数年の間、アクティブなプログラムメンバーである多くのThreat Bounty開発者が、プログラムの受け入れ基準に適合しないコンテンツを提出し続けている状況を非常に懸念しています。成功裏に公開されたルールの割合が提出されたものの10％未満であるメンバーもいます。そのため、コンテンツの大半が拒否され続けているThreat Bounty Sigma開発者は、定期的に ヘルプセンター で利用可能なThreat Bountyガイドラインを見直し、 SOC Primeのウェビナー を視聴する必要があります。SOC Primeチームとプロフェッショナルコミュニティは、 SOC PrimeのDiscord にて、質問がある場合にお手伝いします。

TOP Threat Bounty検出ルール

Threat Bounty開発者によって書かれたトップ5の検出ルールを紹介できることを嬉しく思います。これらのルールは、Threat Bountyコンテンツの中でSOC Primeを活用する企業のセキュリティニーズに最も適していることが証明されています。

1. Citrix ADCゼロデイ（CVE-2023-3519）脆弱性を利用した情報抽出の可能性（process_creation経由） Mustafa Gurkan KARAKAYA Mustafa Gurkan KARAKAYA によるSigmaルールは、重要な情報をコピーして不審なパスに書き込むために CVE-2023-3519 脆弱性を利用した可能性のあるコマンドを検出します。
2. Rhysidaランサムウェア（RaaS）グループがラテンアメリカ政府機関を標的にした関連するコマンドラインパラメータの使用の可能性（process_creation経由） Mustafa Gurkan KARAKAYA Mehmet Kadir CIRIK によるルールは、Rhysidaランサムウェアによって使用される不審なコマンドラインパラメータを検出します。
3. Storm-0978（RomCom）実行の可能性、Microsoft OfficeゼロデイHTML[CVE-2023-36884]脆弱性をSMBポート経由で利用（network_connection経由） Mustafa Gurkan KARAKAYA Nattatorn Chuensangarun によるルールは、Microsoft OfficeゼロデイHTML脆弱性（CVE-2023-36884）攻撃をSMBポート経由で利用した不審なStorm-0978（RomCom）活動を検出します。
4. XWORMリモートアクセス型トロイの影響と実行活動を検出（Process_Creation経由） Mustafa Gurkan KARAKAYA Phyo Paing Htun により、指定されたホストに対するPOST要求を繰り返し行い、シャットダウン、再起動、ログオフプロセスを実行するコマンドラインを乱用できるXWORMリモートアクセス型トロイの影響と実行活動を検出できます。
5. 不審なCitrix ADCゼロデイ[CVE-2023-3519]ウェブシェル検出、関連ファイルを伴う（file_event経由） Mustafa Gurkan KARAKAYA Mustafa Gurkan KARAKAYA 不審なファイルパスにドロップされたウェブシェルファイルを検出する可能性を検出します。 CVE-2023-3519 脆弱性の悪用後に。

トップ作者

SOC Primeに頼る企業の日々のセキュリティ業務における脅威検出能力に貢献する優れた洞察を継続的に提供しているSigma開発者を認知し、称賛したいと思います。8月には、以下のプログラムメンバーがトップ評価のThreat Bounty作者の地位を獲得しました：

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Sittikorn Sangrattanapitak

Emir Erdogan

群衆ソースの検出エンジニアリングのイニシアチブに参加してスキルを収益化することに意欲的ですか？ Threat Bountyプログラムに参加し、脅威検出とハンティングスキルを向上させ、プロフェッショナルコミュニティの一員になりましょう。