Threat Bounty Program Digest — May 2024 Results

[post-views]
6月 07, 2024 · 6 分で読めます
Threat Bounty Program Digest — May 2024 Results

出版物

5月、私たちのコンテンツ検証チームは、レビューのために300件以上の提出物を受け取りました。レビュー後、一部のケースではコードに対する小さな修正を繰り返し、59の新しいユニークな脅威検出ルールが 脅威報奨金プログラム コンテンツ作成者によって成功裏に公開されました。 脅威検出マーケットプレイス

検出の探索

拒否された提出物は、出版のための受け入れ基準を満たしていませんでした。金銭化のためにSOC Primeプラットフォームで出版を計画している脅威報奨金プログラムのすべてのメンバーには、脅威報奨金ルールを作成および提出する際にコンテンツ要件を考慮するようにお願いします。

企業の実稼働環境で行動ベースの脅威検出に効果的に使用できない検出ルールは、SOC Primeによって出版されません。私たちのアクティブな脅威報奨金作成者のプロフェッショナリズムを、実際の行動可能な行動ベースの脅威検出アルゴリズムの需要と一致させるために、SOC Primeのウェビナーやワークショップで基準と技術について説明し、最新情報を把握し、プロフェッショナルスキルと興味を発展させるために活動をフォローすることを推奨します。

TOP脅威報奨金検出ルール

脅威報奨金プログラムのメンバーによって発表されたこれら5つの検出ルールは、SOC Primeプラットフォームを使用してセキュリティ操作を強化している組織の需要に最も適したものでした:

プロセス作成を通じて関連するコマンドを検出することで、疑わしいIcedID(aka Latrodectus [IceNova]) マルウェア実行活動 – 脅威ハンティングSigmaルール by Davut Selcuk プロセス作成イベントを監視することで、IcedID(aka Latrodectus [IceNova]) マルウェアに関連する疑わしい実行活動を特定することを目指しています。

関連するレジストリキーを変更することでMicrosoft Bitlockerを悪用する可能性のあるShrinkLockerランサムウェア活動 (レジストリエベントを通じて) – 脅威ハンティングSigmaルール by Emre Ay Microsoft Bitlockerを悪用することを可能にするレジストリ値を変更しようとするShrinklockerランサムウェアの行動を検出します。

rundll32.exeを使用した疑わしいLatrodectus (IceNova) マルウェア実行活動が検出されました (プロセス作成を通じて) – 脅威ハンティングSigmaルール by Davut Selcuk rundll32.exeを利用して実行されるLatrodectus (IceNova) マルウェアに関連する疑わしい実行活動を検出します。

Bitlockerを悪用するためのShrinkLockerランサムウェアのレジストリキー変更活動の可能性 (レジストリエベントを通じて) – 脅威ハンティングSigmaルール by Emre Ay BitLocker関連のレジストリ値を悪用するためにShrinkLockerランサムウェアによって実行された関連レジストリキーの疑わしい変更を検出します。

中東対象への’MuddyWaterの疑わしい悪意のあるC2活動’のPowerShellコマンドラインによる検出 – 脅威ハンティングSigmaルール by Aung Kyaw Min Naing。このルールは、MuddyWaterが中東のターゲットに対して悪意のあるPowerShell実行を行い、AutodialDLLレジストリキーを悪用してC2フレームワークのためにDLLをロードすることを検出します。

トップオーサー

脅威報奨金プログラムへのクラウドソース脅威検出ルールの次の貢献者たちは、SOC Primeプラットフォームを通じて組織によって利用された脅威報奨金検出ルールに基づいて最も高い評価を達成しました:

Davut Selcuk

Nattatorn Chuensangarun

Emir Erdogan

Sittikorn Sangrattanapitak

Osman Demir

脅威報奨金検出ルールの2人のオーサー、 Joseph Kamau and Bogac Kaya, 今年10件の成功した出版というマイルストーンを達成し、Trusted SOC Prime Contributorsとして認められています。

今後の変更

前回の月刊ダイジェストで説明した脅威報奨金プログラムツールの変更が間もなく開始されます。つまり、脅威報奨金プログラムのメンバーは、Uncoder AIを使用して脅威報奨金の公開と進捗追跡を行うことになります。デベロッパーポータルおよびSigmaルールSlackt Botは今後サポートされず、脅威報奨金プログラムには使用されません。ユーザーガイドラインはSOC Primeのヘルプセンターで利用可能となる予定で、Uncoder AIが脅威報奨金ルール用に利用可能になった後、メンバーは新しいツールを試して検出を提出することができます。 近日中の発表をご期待ください 脅威報奨金プログラム!

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
ブログ, 最新の脅威 — 6 分で読めます
XE グループ活動の検出: クレジットカードスキミングから CVE-2024-57968 および CVE-2025-25181 VeraCore ゼロデイ脆弱性の悪用まで
Veronika Telychko
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-0411 検出: ロシアのサイバー犯罪グループ、ゼロデイ脆弱性を利用してウクライナ組織を標的に
Veronika Telychko
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
ブログ, 最新の脅威 — 7 分で読めます
Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン
Veronika Telychko