SOC Prime Threat Bounty Digest — August 2023 Results

Threat Bounty 월간 요약은 진행 중인 상황을 다룹니다 SOC Prime Threat Bounty 커뮤니티. 매달 우리는 프로그램 뉴스와 업데이트를 발행하고 Threat Bounty 콘텐츠 검증 중 관찰 및 분석을 기반으로 콘텐츠 개선에 대한 권장 사항을 제공합니다.

Threat Bounty 콘텐츠 제출

8월 한 달 동안 Threat Bounty 프로그램의 회원들은 SOC Prime 팀의 검토를 위해 625개의 규칙을 제출했습니다. 규칙은 자동으로 rule Warden에 의해 유효성이 검증되지만, 전문가 팀의 철저한 검사와 검증을 통해 SOC Prime 플랫폼에서 최고의 품질의 탐지가 가능하게 됩니다. 검토 및 개선 사항 제안 후, Threat Bounty 회원들의 103개의 Sigma 규칙이 Threat Detection Marketplace에 게시되어 구독 플랜에 따라 플랫폼 사용자에게 제공됩니다.

탐지 사항 확인

많은 Threat Bounty 개발자가 몇 달 혹은 몇 년 동안 활발히 프로그램에 참여했음에도 불구하고 프로그램의 수락 기준에 부합하지 않는 콘텐츠를 제출하는 상황을 매우 우려하고 있습니다. 일부 회원들은 성공적으로 게시된 규칙의 비율이 10% 미만인 경우도 있습니다. 그렇기 때문에 콘텐츠의 대부분이 거부되는 Threat Bounty Sigma 개발자들은 지속적으로 Help Center 에 있는 Threat Bounty 지침을 검토하고, SOC Prime 웹 세미나 에서 콘텐츠 생성에 대한 정보를 확인해야 한다고 주장합니다. SOC Prime 팀과 전문 커뮤니티는 SOC Prime의 디스코드 에서 질문이 있을 경우 여러분을 지원할 준비가 되어 있습니다.

최상위 Threat Bounty 탐지 규칙

우리는 Threat Bounty 개발자들이 작성한 최상위 5개의 탐지 규칙을 소개하게 되어 기쁩니다. 이러한 규칙들은 Threat Bounty 콘텐츠 중 SOC Prime을 활용하는 기업의 보안 요구를 가장 잘 충족하는 것으로 입증되었습니다.

1. Citrix ADC Zero-Day (CVE-2023-3519) 취약성의 가능성 있는 명령 실행을 통해 정보 추출을 위해 의심스러운 경로로 (process_creation 이용) 의 Sigma 규칙은 의 Sigma 규칙은 취약성을 악용하여 중요 정보를 복사하여 의심스러운 경로로 작성하는 데 사용된 가능성 있는 명령을 탐지합니다. 취약성을 악용하여 중요 정보를 복사하여 의심스러운 경로로 작성하는 데 사용된 가능성 있는 명령을 탐지합니다. vulnerability to copy critical information to write suspicious path.
2. Latin American 정부 기관을 대상으로 하는 Rhysida 랜섬웨어(RaaS) 그룹의 가능성 있는 공격 (명령 줄 매개변수 사용, process_creation 통해) 의 Sigma 규칙은 Mehmet Kadir CIRIK 의 탐지 규칙은 Rhysida 랜섬웨어에 사용된 의심스러운 명령 줄 매개변수를 탐지합니다.
3. SMB 포트를 통해 Microsoft Office Zero-day HTML [CVE-2023-36884] 취약성을 활용한 Storm-0978 (RomCom) 실행 가능성 (network_connection 이용) 의 Sigma 규칙은 Nattatorn Chuensangarun 의 탐지는 Microsoft Office Zero-day HTML 취약성 (CVE-2023-36884) 공격을 거쳐 SMB 포트를 통해 수행되는 의심스러운 Storm-0978 (RomCom) 활동을 탐지합니다.
4. CommandLine [Process_Creation 통해] 관련 활동으로 탐지된 XWORM 원격 액세스 트로이목마의 영향 및 실행 활동 가능성 의 Sigma 규칙은 Phyo Paing Htun 은 제공된 호스트에 반복적인 POST 요청을 수행하고 종료, 재시작, 로그오프 프로세스를 실행하여 명령 줄을 악용할 수 있는 XWORM 원격 액세스 트로이목마의 영향 및 실행 활동을 탐지할 수 있습니다.
5. 취약성 착취 후 의심스러운 파일 경로에 드랍되는 Citrix ADC Zero-Day [CVE-2023-3519] 웹 셸 감지 가능성 (file_event 이용) 의 Sigma 규칙은 의 Sigma 규칙은 은 취약성을 악용하여 중요 정보를 복사하여 의심스러운 경로로 작성하는 데 사용된 가능성 있는 명령을 탐지합니다. 취약성 착취 후 드롭되는 가능성 있는 웹 셸 파일을 탐지합니다.

최고 작가

우리는 SOC Prime의 일상 보안 운영에 의존하는 기업들의 위협 탐지 능력 향상에 뛰어난 통찰을 제공하여 지속적으로 기여해 온 Sigma 개발자들을 인정하고 싶습니다. 8월에 아래 프로그램 회원들이 최상위 위협 Bounty 저자 지위를 얻게 되었습니다:

Nattatorn Chuensangarun

Osman Demir

의 Sigma 규칙은

Sittikorn Sangrattanapitak

Emir Erdogan

크라우드소싱 탐지 엔지니어링 이니셔티브에 참여하여 귀하의 기술을 수익화할 준비가 되었습니까? SOC Prime의 Threat Bounty Program에 참여하여 위협 탐지 및 사냥 기술을 향상하고 전문 커뮤니티의 일원이 되십시오.