SOC Prime 脅威バウンティ ダイジェスト — 2024年3月の結果

脅威報奨金出版物

2024年3月に、脅威検出ルール40件が、当社のコンテンツチームのレビューを経た後、Threat Bounty Programを通じてSOC Primeのプラットフォームに成功裏に公開されました。提出物の品質に全体的な改善が見られるものの、多くの著者によるコンテンツ公開アプローチには典型的な誤解も見受けられます。今日は、この情報を共有し、Threat Bountyのコンテンツ貢献者がより多くの成功した出版を達成できるようお役に立てればと思います。

いくつかのブログ投稿、記事、ニュースレターなどで提供されるIOCに基づく検出ルールは、SOC PrimeがThreat Bountyメンバーからの貢献として期待しているルールではありません。クラウドソース型の検出エンジニアリングに関しては、より多くのツールコンテンツや特定の行動の相関側面に関連する検出ルールを見たいと思います。

出版をスムーズに始めるために、当チームは、プログラムメンバーに Threat Bounty FAQ に記載のガイドラインに従うことを勧めています。また、実践的なアプローチのガイドラインが必要だと感じる場合は、 SOC Primeのウェビナーを特にSigmaおよび脅威ハンティング、Threat Bountyプログラムに焦点を当てたものをご覧ください。

さらに、最近発表された SOC PrimeのDiscordでの次回のウェビナーは、Threat Bountyのルールを書き始めたばかりの人々の共通の課題に焦点をあて、承認率の向上と成功した出版数の平均を向上させたいと考えている著者にガイドラインを提供します。私たちは質問、提案、Threat Bounty出版に関する個人的な経験談を歓迎しています – 何か共有したいことがあれば、Discordでお知らせください。ウェビナーの日付と時間に関する最新情報にご注目ください。

TOP脅威報奨金検出ルール

Threat Bounty Programを通じてSOC Primeプラットフォームに公開された以下のルールは、2024年3月中にプラットフォームユーザー間で最も関心を集めました：

1. ScreenConnectポストエクスプロイトにおける持続コマンドを伴う可能性のある暗号通貨マイナー展開（CVE-2024-1709 & CVE-2024-1708）（via process_creation) – Davut SelcukによるThreat Hunting Sigmaルールは、ScreenConnectを介したポストエクスプロイト活動中の暗号通貨マイナー展開および持続コマンドの可能性を検出します。これは、schtasks.exeがSentinelUI.exeを含むスケジュールタスクを作成する特定のコマンドシーケンスを識別できます。 Davut Selcuk detects potential cryptocurrency miner deployment and persistence commands during post-exploitation activities via ScreenConnect. It can identify specific command sequences involving schtasks.exe creating scheduled tasks containing SentinelUI.exe.
2. Microsoft Defender SmartScreenゼロデイを利用したAPTグループWater Hydraによる疑わしいファイル作成の検出（CVE-2024-21412）（via file_event） – Davut SelcukによるThreat Hunting Sigmaルールは、ScreenConnectを介したポストエクスプロイト活動中の暗号通貨マイナー展開および持続コマンドの可能性を検出します。これは、schtasks.exeがSentinelUI.exeを含むスケジュールタスクを作成する特定のコマンドシーケンスを識別できます。 Davut Selcuk 金融市場トレーダーを標的とするキャンペーンでMicrosoft Defender SmartScreenの脆弱性（CVE-2024-21412）を利用するAPTグループWater Hydraによる疑わしいファイル作成を検出します。
3. ロシア諜報グループによるTinyTurlaマルウェアの疑わしい持続活動を関連コマンドラインを通じて（via process_creation） – Davut SelcukによるThreat Hunting Sigmaルールは、ScreenConnectを介したポストエクスプロイト活動中の暗号通貨マイナー展開および持続コマンドの可能性を検出します。これは、schtasks.exeがSentinelUI.exeを含むスケジュールタスクを作成する特定のコマンドシーケンスを識別できます。 Mustafa Gurkan KARAKAYA 関連するサービスを作成してレジストリキーを追加することでTinyTurlaマルウェア持続活動の可能性を検出します。
4. 疑わしいサービスを作成することによるRA Worldランサムウェア持続活動の可能性（via security） – Davut SelcukによるThreat Hunting Sigmaルールは、ScreenConnectを介したポストエクスプロイト活動中の暗号通貨マイナー展開および持続コマンドの可能性を検出します。これは、schtasks.exeがSentinelUI.exeを含むスケジュールタスクを作成する特定のコマンドシーケンスを識別できます。 Mustafa Gurkan KARAKAYA 関連サービスを作成することでRA Worldランサムウェアの可能性のある持続活動を検出します。
5. Microsoft Outlookリモートコード実行の脆弱性（MonikerLink）[CVE-2024-21413]を悪用した初期アクセスの可能性 – Davut SelcukによるThreat Hunting Sigmaルールは、ScreenConnectを介したポストエクスプロイト活動中の暗号通貨マイナー展開および持続コマンドの可能性を検出します。これは、schtasks.exeがSentinelUI.exeを含むスケジュールタスクを作成する特定のコマンドシーケンスを識別できます。 Kaan Yeniyol Microsoft Outlookでのリモートコード実行およびNTLM資格情報攻撃の可能性を検出します（CVE-2024-21413）。

トップ作者

報酬の支払いに必要な情報の収集と確認が続いている間も、今月のトップ5の脅威報奨金の作者のリストを共有したいと思います。3月中、 脅威検出市場 の利用者は、他のThreat Bounty検出ルールの著者の中で、これら5人の著者の検出ルールを最も多く参照しました：

Nattatorn Chuensangarun

Davut Selcuk

Sittikorn Sangrattanapitak

Emre Ay

Mustafa Gurkan KARAKAYA

さらに、今週初め、脅威報奨金プログラムの5名のメンバーがSOC Primeからその貴重な貢献の証拠として認証バッジを受け取り、2024年に彼らの脅威検出ルールの10件の成功した出版を成し遂げました。Threat Bountyバッジと最近の賞について詳しくは この記事. 

でご覧ください。検出エンジニアリングのスキルを開発し、自らの貢献でお金を稼ぎたいと考えているスキルとやる気のある方の参加を Threat Bounty Program!