SOC Prime Threat Bounty Digest — June 2024 Results

検出コンテンツの提出とリリース

6月に、SOC PrimeのThreat Bounty Programメンバーは Uncoder AI を使用してルールを作成し、検証し、リリース前にレビュー用のルールを提出し始めました。私たちは、著者が高品質な Threat Bountyの検出ルール を作成するのを支援し、彼らの専門能力開発をサポートするツールを提供できることを嬉しく思います。私たちのチームは、 検出エンジニア、DFIRスペシャリスト、SOCアナリストに最適な技術を提供し、技術的および分析的スキルを向上させ、現実の課題を克服し、業界のニーズにプロフェッショナルな背景を合わせ、SOC Primeのクラウドソース検出エンジニアリングイニシアチブに積極的に参加する著者に報いることに尽力しています。Threat Bounty Programの進化について詳細をご覧ください この記事で. 

6月には、プログラムのメンバーが悪意ある行動を特定可能な24の新しいユニークなThreat Bounty検出ルールを発行しました。組み込みの検証の助けを借りて、コンテンツの著者は Sigma構文の理解を深め、将来の一般的なミスを避けることができました。検証チームは、Threat Bounty提出の受け入れ基準を満たすために提出されたルールが継続的に改善されていることを観察しています。

SOC Primeのチームによって提供されたフィードバックが、研究とルール作成に費やされるさらなる努力を、悪意ある行動を検出するための実用的なコンテンツの必要性に合わせるのに役立ちました。検証チームは、さらに多くのルールを Threat Bounty受け入れ基準.

を満たすものとして受け取りました。Uncoder AIの機能、SOC Primeプラットフォーム内のプライベートコンテンツリポジトリを含め、すべてのThreat Bounty Programメンバーに利用可能であり、私たちは彼らが個人および職業開発のために、また多様なコンテンツやフォーマットで働くためにこのツールを積極的に使用することを奨励しています。ただし、私たちは引き続き プログラム要件を満たす検出ルールのみを受け入れるため、ルールをSOC Primeプラットフォーム上で公開して収益化したい著者は、収益化のためにルールが発行されるたびに要件に従うことを推奨します。

トップThreat Bounty検出ルール

以下のThreat Bounty検出は、SOC Primeを利用する企業によって最も参照されました：

Black Basta Exploit ToolがWindows特権昇格の脆弱性を用いて永続性を持たせる可能性のある検出（CVE-2024-26169）（via registry_set） – 脅威ハンティングSigmaルール作成者 Davut Selcuk が作成し、Black BastaランサムウェアグループがWindowsエラー報告サービスの特権昇格脆弱性（CVE-2024-26169）を利用して永続性を得るための攻撃ツールを検出します。Cardinalサイバー犯罪グループ（別名Storm-1811、UNC4393）は、このゼロデイ脆弱性を悪用することが確認されています。この攻撃ツールは、Windowsファイルwerkernel.sysがレジストリキーを作成する際にnullセキュリティディスクリプタを使用するという事実を利用しています。

WARMCOOKIEバックドアの実行、疑わしいrundll32.exe実行関連コマンドの検出（via process_creation） – 脅威ハンティングSigmaルール作成者 Davut Selcuk は、WARMCOOKIEバックドアに関連した疑わしいrundll32.exe実行を検出するのに役立ちます。WARMCOOKIEは脅威アクターがシステムに侵入し、危害を与えるために使用するバックドアで、通常、リクルートテーマによるフィッシングキャンペーンを通じて配布され、rundll32.exeを介して一時ディレクトリに保存された悪意あるペイロードを実行し、永続性とリモートコントロールを目指します。

ShrinkLockerランサムウェア活動、関連レジストリキーの修正を通じたMicrosoft Bitlockerの悪用の可能性（via registry_event） – 脅威ハンティングSigmaルール作成者 Emre Ay が作成し、Microsoft Bitlockerを悪用するためのレジストリ値を変更しようとするShrinklockerランサムウェアの動作を検出します。

SolarWinds Serv-U-FTPディレクトリトラバーサル脆弱性（CVE-2024-28995） – 脅威ハンティングSigmaルール作成者 Emir Erdogan。このルールは、ウェブサーバーログの助けを借りて、SolarWinds Serv-U-FTPディレクトリトラバーサル脆弱性の攻撃試行を識別します。

疑わしいSTOPランサムウェアのコマンド実行、関連コマンドラインの検出（via process_creation） – 脅威ハンティングSigmaルール作成者 Emre Ay は、STOP/DJVUランサムウェア関連の疑わしいコマンドを検出し、関連コマンドを使用してその悪意ある活動を開始することを目的としています。

トップ著者

これらの著者によるThreat Bounty検出ルールは、7月にプラットフォームで最も人気がありました：

Davut Selcuk

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Osman Demir

Emir Erdogan

さらに、Emir Erdoganは、今年のSOC Primeプラットフォームへの貢献に対する Trusted Contributor としてデジタルバッジを受け取りました。

SOC Primeが彼らの提出を定期的に認めている著者の成功を追いたい場合は、 Kyaw Pyiyt Htet との洞察に富んだインタビューをぜひご覧ください。これは、トップ20 SOC Prime貢献者の一人として認められました。

スキルを向上させ Uncoder AI 、検出エンジニアリングのためのIDEとして使用し、SOC Primeプラットフォームへの投稿でスキルを収益化するために Threat Bounty Program.