SOC Prime 脅威バウンティ ダイジェスト — 2024年1月の結果

脅威バウンティコンテンツ

1月に、 脅威バウンティプログラム のメンバーは、SOC Primeのコンテンツ検証チームによるレビューのために積極的に検出ルールを提出しました。提案されたルールの検証と検査の後、44の検出が脅威検出マーケットプレイスに公開されましたが、いくつかのルールは小さな変更が必要で、最終的な修正のために著者に返されました。

検出を探る

いつものように、私たちのチームはSOC PrimeのDiscordサーバーでコンテンツの受け入れ基準についての質問に答える用意があります。SOC Primeプラットフォームが進化するにつれて、コンテンツの受け入れ基準も変化しており、脅威バウンティ出版物に関する経験にかかわらず、すべての著者が公開される検出コードを理解することが重要です。これにより、コンテンツ作成者が脅威バウンティルールの研究と開発により合理的かつ効率的に時間を投資することができます。

TOP脅威バウンティ検出ルール

これらの5つの検出は、脅威バウンティプログラムの条件のもとで公開され、SOC Primeプラットフォームを利用してセキュリティ運用を強化するために組織で最も人気がありました：

Ivanti Pulse Connect Secureの認証バイパス脆弱性[CVE-2023-46805]の不正使用試行（プロキシ経由） – の脅威ハンティングSigmaルール Mustafa Gurkan KARAKAYA によるもので、関連するリクエストを通じてIvantiの認証バイパス脆弱性[CVE-2023-46805]の不正使用試行を検出します。

診断を使用してイベントログがクリアされた（PowerShell経由） – の脅威ハンティングSigmaルール Michel de Crevoisierによるもので、攻撃者がイベントログをクリアしようとするシナリオを検出します。

Ivanti Connect Secure VPNのリモートコード実行脆弱性[CVE-2024-21887]の不正使用による可能性のある初期アクセス（Webサーバー経由） – の脅威ハンティングSigmaルール Kaan Yeniyolによるもので、Ivanti Connect Secure（9.x, 22.x）とIvanti Policy Secure（9.x, 22.x）のWebコンポーネントにおけるコマンドインジェクション脆弱性を検出し、認証された管理者が特別に作成されたリクエストを送信してデバイス上で任意のコマンドを実行することを可能にします。

引数を渡さずにRegSvrのオートレジスタ機能を操作してDLLを不審にロード（プロセス作成経由） – の検出 Mustafa Gurkan KARAKAYAにより、regsvrのオートレジスタ機能を操作する可能性のあるレジストリキーの追加活動を検出します。

TeamViewerを介したランサムウェア配布の検出（cmdline経由） – の脅威ハンティングルール Furkan Celik によるもので、ユーザーのデスクトップから実行される.bat拡張子ファイルで開始される可能性のある初期ランサムウェア配布を検出します。その後、rundll32プロセスが.bat拡張子ファイルを使用して実行されます。

トップ著者

以下の5人の著者による脅威バウンティルールは、 脅威検出マーケットプレイス ユーザーの間で最も人気がありました：

Nattatorn Chuensangarun – 112の検出はSOC Primeを利用する組織によって使用され、そのうち6つのルールは前月に公開されました。

Osman Demir – この著者による80の検出はSOC Primeのクライアントによって使用されました。すべての検出は以前に公開されました。

Davut Selcuk – この著者による27のルールは、うち12は最近公開された検出を含み、SOC Primeユーザーによって脅威検出マーケットプレイスを通じて使用されました。

Mustafa Gurkan KARAKAYA – 50のルールと、最近公開された8つの検出が含まれており、SOC Primeを利用する組織がその脅威検出機能を強化するために役立ちました。

Sittikorn Sangrattanapitak – 90の検出ルールのうち、最近公開された検出を含む1つが、SOC Primeを利用する組織によって使用されました。

また、脅威検出マーケットでの検出の中で、コードを閲覧後にSOC Primeのクライアントによってダウンロードや展開された検出数に最も良い表示/ダウンロード比率を示す著者も言及したいと思います：

Emre Ay

Kyaw Pyiyt Htet

Joseph Kamau

Michel Crevoisier

Aung Kyaw Min Naing

Cで、自分の検出ルールで集団的なサイバー防衛に貢献し、影響に対して報酬を得ましょう。 脅威バウンティプログラム, and get rewarded for your impact.