SOC Prime 脅威報奨金ダイジェスト — 2024年9月結果

検出コンテンツの作成、提出、リリース

9月に、 Threat Bounty Program は大幅な成長を遂げ、検出ルールの検証のための提出が増加し、Threat BountyルールがSOC Primeプラットフォームに多数リリースされました。私たちはThreat Bounty Programのすべてのメンバーが Uncoder AIへのアクセス を活用し、SOC Primeで検出技術スキルを収益化することを導き続けます。

脅威検出ルールの著者たちの努力に感謝しつつも、検証をパスしたルールのみが公開されることを強調したいと思います。プログラムのメンバーの中には、SIEM固有のクエリでの経験を、当社の要件を満たすための検出ルール、特に攻撃のインジケータに焦点を当てた複雑な検出ロジックに適応するのが少し難しいと感じる方もいるかもしれません。しかし、この挑戦はThreat Bounty Programメンバーの専門的な進歩を促し、私たち全体の脅威検出努力の効果を高めます。

Threat Bounty Programが成長を続ける中で、私たちは Uncoder AIを巧みに利用するプログラムメンバーを認めることを楽しみにしています。これらの人々は、自分たちの能力を向上させただけでなく、就職市場でも差別化を図り、検出技術を効率的に活用する能力を示しています。

Threat Bounty Authorsによる9月のTOPルール

一般的なRAT（リモート管理ツール）の実行の検出—Sigmaルール作者 Emanuele De Lucia。このルールは最も人気のあるRATの実行を検出します（process_creation経由）。

Hadookenマルウェアの可能性のある実行によるペイロードのドロップによるクリプトマイナーのマルウェア展開の検出 [Linux]（file_event経由） by Nattatorn Chuensangarun。このSigmaルールは、不審なHadookenマルウェア活動を検出し、悪意のあるelfペイロードを展開してクリプトマイナーのマルウェアを展開します。

SEO操作キャンペーンに関連する不審なMicrosoft IIS（インターネット情報サービス）構成—Threat Bounty Sigmaルール作者 Joseph Kamau。このルールはIISの構成設定の変更を検出し、DragonRank SEOキャンペーンではスクリプトの出力を圧縮できないというマルウェアの欠点により、BadIISマルウェアが侵害されたIISサーバーに成功裏に展開されるのを許します。

Latrodectusマルウェアに関連する署名付きバイナリプロキシの実行の検出（CmdLine経由）—脅威ハンティングSigmaルール作者 Kyaw Pyiyt Htet。このルールは、通常メールスパムキャンペーンによって配布されるLatrodectusマルウェアに関連する署名付きバイナリプロキシの実行を検出します。

不審なSChannel弱証明書マッピング方法の設定（レジストリエベント経由）—脅威ハンティングSigmaルール作者 Sittikorn Sangrattanapitak。作者によれば、このルールはレジストリの変更を通じて弱い証明書マッピング方法の設定を検出します。サーバーアプリケーションがクライアント認証を必要とすると、SChannelはクライアントの証明書を対応するユーザーアカウントに自動的にマッピングしようとします。これにより、クライアント証明書を介してユーザー認証が可能になり、証明書情報をWindowsユーザーアカウントにリンクするマッピングが作成されます。

Threat Bounty著者：9月TOP 5

9月のハイライトでは、SOC Primeプラットフォームへの貢献が卓越したパフォーマンスを示したトップ5のThreat Bounty Programメンバーを誇りを持って認めます。彼らの検出ルールはその質の高さだけでなく、SOC Primeプラットフォームを活用する組織によってクラウドソース化された検出エンジニアに置かれた信頼をも反映しています。

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun 2024年に50のルールをリリースし、優秀な貢献者としてデジタルクレデンシャルを取得したマイルストーンを達成した

Davut Selcuk

Emir Erdogan

Osman Demir

私たちはThreat Bounty Programのすべてのメンバーが検出ルールを洗練し、SOC PrimeのDiscordサーバーでコミュニティと積極的に関わり続けることを奨励します。あなたの貢献とスキル向上は、私たちの集合的なサイバー防御の努力を高める上で重要です。次のアップデートと機会をお見逃しなく、 Threat Bounty Programを続け、あなたの突出した貢献を目指してください。