SOC Prime脅威バウンティダイジェスト — 2023年9月の結果

新たな Threat Bounty プログラム の消化版として、SOC Primeのクラウドソース型検出エンジニアリングイニシアチブの最新ニュースとアップデートをカバーします。

Threat Bounty コンテンツ投稿

9月には、Threat Bounty プログラムのメンバーは、マネタイゼーションのための公開前にSOC Primeチームによるレビューを受けるために629件のルールを提出しました。レビューと品質評価を経て、場合によっては改善のための多数のイテレーションを行った後、90件のルールがSOC Prime プラットフォームへの公開を承認されました。

検出を探る

Threat Bounty のコンテンツ開発者とグローバルなサイバーセキュリティコミュニティの双方がSOC Prime プラットフォームから最大の価値を引き出せるように、既存のワークフローとコミュニケーションに一連の改善を導入しています。例えば、Threat Bounty コンテンツ開発に関するハウツーがプログラムメンバーに知られ、利用できるようにするために、SOC Prime の専用チャンネルを Discord サーバー に開設して、仲間との知識と経験の共有を行っています。

このようにして、SOC Prime は現在のワークフローに変更を導入しており、SOC Prime 検出エンジニアリングチームによるコミュニケーションと監督、ルールの受け入れ、レビュー プロセス、および報酬を含めています。導入された変更は、Threat Bounty プログラムのさらなる発展とその成熟を確保し、プロアクティブな脅威検出と脅威ハンティングのためにコミュニティのニーズに合わせるために必要です。

TOP Threat Bounty 検出ルール

既存のプラットフォームクライアントから最も注目されたルールは次の通りです:

1. 既知の脆弱性を使用して Microsoft Office ドキュメントを標的とする Lokibot の疑い (via process_creation) – Emre AY Emre AYによる脅威ハンティング Sigma ルールです。このルールは、関連するコマンドを介して脆弱性を利用して Microsoft Office ドキュメントを標的とする Lokibot キャンペーンを検出します。
2. 環境変数を設定する関連コマンドラインの検出による Steal-It キャンペーン活動の疑い (via process_creation) – Mustafa Gurkan KARAKAYA Mustafa Gurkan KARAKAYAによる脅威ハンティングルールです。このルールは、疑わしいファイルの場所で環境変数を設定する Steal-It キャンペーンのコマンド実行の可能性を検出します。
3. Akira ランサムウェア実行の疑い (via cmdline) – Mustafa Gurkan KARAKAYA Osman Demirによるこのルールは、特定のパラメータを持つマルウェアのランサムウェア活動を行う可能性のある攻撃キャンペーンを検出します。
4. Elevate Powershell コマンドの検出による BlackCat ランサムウェア (別名 ALPHV) の列挙活動の疑い (via ps_script) による脅威ハンティングルールです Mustafa Gurkan KARAKAYA.
5. Apple リモートデスクトップエージェントを有効化してリモートコード実行と横方向移動を実行するための疑いのある (via process_creation) – による脅威ハンティングルールです Emre AYこのルールは、特権を持つすべてのユーザーに対してキックスタートコマンドを実行してターゲットシステムへのリモートアクセスのためのリモートデスクトップ管理を有効にしようとする敵対者を検出します。

トップ作成者

Threat Bounty 検出ルールの作者は、プラットフォームユーザーから伝統的に最も多くのインタラクションを得ています:

Nattatorn Chuensangarun

Osman Demir

Mustafa Gurkan KARAKAYA

Sittikorn Sangrattanapitak

Emir Erdogan

SIEM 検出ルールの熱心な開発者が、新たに参加して SOC Prime Threat Bounty プログラム で主要マーケットリーダーと共に個人的なポートフォリオを作成しながら、集合的なサイバー防御に貢献し、グローバルなサイバーセキュリティコミュニティでプロとして成長することを奨励しています。