SOC Prime Threat Bountyダイジェスト — 2023年10月の結果

新たな情報をご紹介します SOC PrimeのThreat Bountyプログラム と10月の結果。

Threat Bountyコンテンツの投稿

Threat Bountyルールの著者が、Wardenを使って検出を検証し、既存の検出を調査することに時間を費やしていることを喜んでいます。これにより、ルールを作成し提出する際に重複を避けつつ、収益化を実現しています。10月には、SOC Primeのチームに対し、SOC Primeプラットフォームへの公開前に477件のルールが検証のために送られました。標準的な検証と評価の後、90件のルールが公開承認されました。

検出を探る

Threat Bountyプログラムは、現在新しい熱心なコンテンツ著者を歓迎しています。我々はすべての方々にSOC Primeの Discordサーバー とThreat Bountyの議論専用のプライベートチャンネルに参加することをお勧めします。さらに、新しいメンバー全員がコンテンツ受理基準とSOC Primeの標準を把握できるようにするため、すべての著者に対して SOC Primeのウェビナー を視聴し、我々の ブログ. 

TOP Threat Bounty検出ルール

SOC Primeプラットフォームを活用する組織から最も需要が高かったのは、Threat Bountyメンバーによって提出されたこれらの検出でした:

1. レジストリキーのHTTP/2 Rapid Reset攻撃 (CVE-2023-44487) 検出の疑わしい修正 (レジストリエベント経由) による脅威ハンティングSigmaルール ダヴト・セルチュク は、CVE-2023-44487に関連するHTTP/2 Rapid Reset攻撃活動の潜在的な検出を行います。
2. CVE-2023-42793（JetBrains TeamCityサーバ上のRCEに至る認証バイパス）利用の可能性（プロキシ経由） による脅威ハンティングSigmaルール アイクト・グルセス は、TeamCity RCEチェーンの一部となる可能性のあるCVE-2023-42793利用試行（JetBrains TeamCityサーバ上のRCEに至る認証バイパス）を識別します。公開されているPOCに基づいています。
3. CVE-2023-40044（WS_FTPサーバのクリティカルな事前認証RCEの欠陥）利用の可能性（プロキシ経由） による脅威ハンティングSigmaルール アイクト・グルセス は、公開されているPOCに基づいており、TeamCity RCEチェーンの一部となる可能性のあるCVE-2023-40044利用試行を識別します（WS_FTPサーバのクリティカルな事前認証RCEの欠陥）。
4. 許可されたユーザーを見つけるための疑わしい列挙活動に関連するリバーシブルパスワード暗号化を許可されているPowerShellコマンド（ps_script経由） による脅威ハンティングSigmaルール ムスタファ・グルカン・カラカヤ は、Active Directory上でリバーシブルパスワード暗号化機能を有効にしたユーザーを発見するための疑わしい列挙活動を検出します。攻撃者は、この機能を持つユーザーを特定し、平文でのパスワード情報を取得しようとするかもしれません。
5. CVE-2023-40044 WS_FTP と Ad Hoc Transfer IISモジュール利用の可能性（webサーバ経由） による脅威ハンティングSigmaルール シッティコン・サングラッタナピタク は、WS_FTPにおけるリモートコード実行（RCE）脆弱性（CVE-2023-40044）に対する潜在的な利用試行を検出します。

トップ著者

SOC Primeプラットフォームのユーザーがプラットフォーム上で利用した検出コンテンツに基づき、これらの著者による検出が最も需要が高かったものです:

シッティコン・サングラッタナピタク

ナッタトーン・チューンサンガルン

オスマン・デミル

ムスタファ・グルカン・カラカヤ

エミル・エルドアン

SOC Primeプラットフォームで自分の検出を公開することに興味がありますか？ Threat Bountyプログラム に参加し、サイバー脅威に耐える企業を世界中で支援しましょう。