SOC Prime 脅威バウンティダイジェスト — 2023年12月の結果

Threat Bounty コンテンツ承認

Threat Bounty プログラムの開始以来、SOC Prime は熟練で熱心な検出エンジニアを提供し、彼らのスキルを実際のリアルタイムの脅威検出コンテンツの需要に合わせてきました。2023年には、Platform の進化に伴い、Threat Bounty メンバーの努力を調整し、その結果としてコンテンツ承認基準にいくつかの変更が加えられました。 具体的には、低レベルのIOCに基づくルール、他のセキュリティソリューションのアラートに基づいてアラートをトリガーするルール、適用範囲や適応力が限られているルールに対して、コンテンツの検証手順および公開ガイドラインを厳格に遵守します。 — これは「SOC Prime プラットフォームでの長期使用に対する耐久性が低い」と呼ばれます。 SOC Prime では、この集団的な努力とフィードバックの共有が、今日のサイバーセキュリティ業界において重要なプロフェッショナルスキルの開発を促進すると確信しています。

Threat Bounty プログラムのすべてのメンバーがコンテンツ承認ルールを考慮し、コンテンツ改善に関連する一般的な推奨事項や公開拒否の理由について注意を払うことを期待しています。

今月のTOP Threat Bounty 検出ルール

SOC Prime プラットフォームでの Threat Bounty 開発者による以下の検出は最も人気がありました：

北朝鮮APT38/Lazarusグループによる関連するコマンドラインパラメータの検出（プロセス作成を通じて）による永続性の可能性の検出 – としての脅威ハンティングルール Davut Selcuk 北朝鮮APT38/Lazarusグループによる永続性の潜在的な指標を特定し、関連するコマンドラインパラメータの検出を活用します。

ExcelまたはWord文書への悪意のあるVBAコードの実行の可能性（ps_script経由で）による関連するコマンドの検出 – としての脅威ハンティングルール Emre Ay 疑わしいPowerShellコマンドを使用して、ExcelやWord文書に悪意のあるVBAコードを実行しようとする脅威アクターを検出します。

DarkGate マルウェア活動の疑わしいレジストリキー変更（registry_event経由） – としての脅威ハンティングルール Davut Selcuk DarkGateに関連するレジストリキーへの変更を検出します。

MS Exchange 環境でのメールダンプのために PowerShell プラグインを使用してメールをダンプすることでのエージェントRacoon マルウェアの実行の可能性（PowerShellスクリプトブロックを使用） – としての脅威ハンティングルール Nattatorn Chuensangarun IISシステムディレクトリ（inetsrv）内で悪意のあるpstファイルを実行するためのPowerShellプラグインを使用してエージェントRacoonマルウェア活動を疑わしく検出します。

VIM-CMDを介してESXiのすべてのVMを消去しスナップショットを削除することでのランサムウェアの脅威アクティビティの可能性 – としての脅威ハンティングルール Kaan Yeniyol VMSVCコマンドを使用してスナップショットおよびESXiデバイス上の仮想マシンの削除を検出します。ランサムウェアグループは、ESXiシステムを侵害すると、デバイスに関連するスナップショットを削除し、ファイルを暗号化します。

今月のトップオーサー

Threat Bounty メンバーがプログラムでの活動をやめ、活発な Threat Bounty 著者としての特権を失うこともありますが、それでも彼らの検出はSOC Primeを活用する企業がサイバー脅威に耐える助けとなります：

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Emre Ay

Emir Erdogan

Osman Demir

以下の著者は、SOC Primeチームの品質検証をパスした検出コンテンツで優れた貢献を示しました：

Davut Selcuk

Nattatorn Chuensangarun

Phyo Paing Htun

CST 

Mustafa Gurkan KARAKAYA

ニュース、最新情報、コミュニティの議論に注目し、 Threat Bounty プログラム、及び Threat Bounty 検出を活用して世界中の企業が新たな脅威に対抗できるようにすることを躊躇しないでください SOC Prime の革新.