検出コンテンツの作成、提出、およびリリース
12月は、脅威バウンティプログラムにとってもう一つの印象的な月であり、コミュニティが協力の精神と検出エンジニアリングのスキルを示しました。
年末の忙しい時期にもかかわらず、プログラムのメンバーは新たな脅威に対処するために積極的に検出を提出し続けました。合計で、33の新しい検出ルールが、 SOC Prime プラットフォーム でSOC Prime の専門家チームによって検証された後に成功裏にリリースされました。
継続的な変更とプログラムの強化
2025年1月より、脅威バウンティの新しい検出の受け入れを一時的に停止しました。その間に、 脅威バウンティプログラムの活動は停止され、ユーザー全体の体験を向上させ、異なるフォーマットでのコンテンツの提出や、作業の収益化の新しい方法を含む脅威バウンティプログラムメンバーへの機会を拡大するために、SOC Prime プラットフォームのいくつかの強化に取り組んでいます。 詳細はこちら.
その間、SOC Prime コミュニティのメンバーは、SOC Prime プラットフォームの 個人ユーザー向けメンバーシッププラン を探検し、プラットフォームのプレミアム機能の一部を検出エンジニアリングプロジェクトに取り入れることができます。
脅威バウンティ著者による12月のベストルール
年の最後の月には、以下の検出ルールが、サイバーセキュリティの運用を強化するためにSOC Primeを使用する企業の間で最も人気を集めました:
LOLBinエクスプロイトにおけるRundll32使用法(プロセス作成経由) by Bogac KAYA。このルールは、ShellExec_RunDLLを呼び出すためにwindows.storage.dllを活用するrundll32の実行を検出します。
Powershell CommandAs Moduleを使用したSYSTEMユーザー取得のための特権昇格の可能性(ps_script経由) by Mustafa Gurkan KARAKAYA。このルールは、スケジュールタスクを作成したり、リモートサーバー上でコマンドを実行したり、特定のgMSAアカウントでジョブを開始したり、これらすべてのアクションをSYSTEM権限で実行するために使用される可能性のある悪意のあるコマンドを検出します。
WMIプロバイダーホストサービスを介してMore_Eggsマルウェアを呼び出すことによるTA4557/FIN6疑わしい実行(プロセス作成経由) by Nattatorn Chuensangarun – このルールは、WMIプロバイダーホストサービスを介してMore_Eggsマルウェアを展開するために悪意のあるDLLファイルをリリースする疑わしいTA4557/FIN6活動を検出します。
疑わしいレジストリRunKeyを作成することによるAPT35グループの持続的活動の可能性(registry_event経由) by Emre Ay。このルールは、APT35グループに関連するレジストリランキーの疑わしい作成を検出し、被害者システムで持続性を維持し、悪意のあるプログラムを静かにロードしようとします。
疑わしいスケジュールタスクを作成することによるBlackCatランサムウェアの持続的活動の可能性(プロセス作成経由) by Emre Ay。このルールは、被害者システムで持続性を維持し、マルウェアを実行するための疑わしいtaskrunパラメーターを持つschtasksの実行を検出します。
脅威バウンティ著者:12月のトップ5
これらの著者は、脅威バウンティルールで最高評価を獲得しました:
脅威バウンティプログラムが進化する中、その核心の使命は変わりません:サイバーセキュリティ業界内でのコラボレーション、イノベーション、および影響を促進し、世界的なサイバー防御を強化します。サイバー攻撃に対する世界の守りを強化するために、大きな影響を与えてきた脅威バウンティ著者に感謝します。
さらにニュースとアップデートをお楽しみに!
