SOC Prime 위협 현상금 다이제스트 — 2024년 8월 결과

탐지 콘텐츠 생성, 제출 및 릴리스

2024년 8월은 글로벌 사이버 커뮤니티에게 도전적이었던 동시에 기회로 가득 찬 시기였습니다. SOC Prime의 Threat Bounty 멤버들은 그들의 기여로 개인적인 인정을 받고 현금을 얻을 수 있었습니다. 8월 동안 22개의 탐지가 성공적으로 SOC Prime 플랫폼에 릴리스되었으며, 두 배 이상의 탐지가 개선을 권장하여 작가에게 반환되었습니다. 탐지 논리. 

SOC Prime는 가장 재능 있고 동기부여된 작가를 장려하며 프로그램 수락 기준을 충족하고 작가의 뛰어난 탐지 엔지니어링 기술을 보여주는 탐지만을 게시합니다. Uncoder AI를 사용하면 열성적인 사이버 보안 실무자들이 많은 실무 경험을 얻고, 신기술을 자신의 일상 루틴. 

상위 Threat Bounty 탐지 규칙

이 다섯 가지 규칙은 SOC Prime을 신뢰하여 사이버 보안 작업을 강화하는 회사로부터 가장 많은 관심을 받았습니다:

의심스러운 Powershell 실행을 통한 비동기 RAT에 대한 명령 관련 탐지 (Powershell 활용) – 탐지 사냥 Sigma 규칙 작성자 Osman Demir.

Ivanti 인증 우회 (CVE-2024-7593) 익스플로잇 시도 (웹 서버 활용) – 탐지 사냥 규칙 작성자 Wirapong Petshagun. 이 규칙은 Ivanti(CVE-2024-7593)의 인증 우회 취약점을 악용하는 URL 패턴을 감지합니다. 성공적인 익스플로잇은 인증 우회와 관리자 사용자 생성을 유발할 수 있습니다.

Microsoft Outlook을 기반으로 후속 익스플로잇 원격 코드를 실행하는 Specula 도구의 감지 가능성 (레지스트리 수정 활용) – 탐지 사냥 Sigma 규칙 작성자 Davut Selcuk 는 Specula 도구가 Microsoft Outlook을 악용하여 원격 코드 실행을 수행할 가능성을 탐지합니다. Specula는 Outlook을 명령 및 제어(C2) 비콘으로 변환해 공격자가 원격으로 악성 코드를 실행하도록 할 수 있습니다.

중국-Nexus 위협 그룹 (Velvet Ant)에서 F5 로드 밸런서를 악용하여 PlugX 악성 코드를 배포하는 실행 가능성 (파일 이벤트 활용) – 탐지 사냥 규칙 작성자 Nattatorn Chuensangarun. 이 규칙을 통해 SOC Prime 플랫폼의 사용자는 중국-Nexus 위협 그룹 ‘Velvet Ant’의 활동과 관련된 의심스러운 활동을 탐지할 수 있습니다.

레지스트리를 수정하여 Skype 서비스를 통해 BASTA 랜섬웨어를 실행하는 UNC4393 지속 가능성 (레지스트리 활동 활용) – 탐지 사냥 규칙 작성자 Nattatorn Chuensangarun. 이 규칙은 위협 행위자가 악성 바이너리 페이로드를 실행하기 위해 레지스트리 키를 수정하여 BASTA 랜섬웨어를 배포할 때의 의심스러운 UNC4393 활동을 감지합니다.

상위 작가들

다음 다섯 작가의 탐지는 SOC Prime 플랫폼에 의존하여 조직의 사이버 보안을 강화하려는 사이버 보안 전문가들로부터 가장 많은 관심을 받았습니다:

Osman Demir

Nattatorn Chuensangarun

Emir Erdogan

Sittikorn Sangrattanapitak

Davut Selcuk

기쁜 마음으로 8월, Aung Kyaw Min Naing 이 2024년에 10건의 성공적인 기여 마일스톤에 도달했으며 신뢰받는 기여자 로서 SOC Prime 플랫폼에 디지털 배지를 받았음을 발표합니다.

9월에는 Threat Bounty 프로그램의 활동적인 회원들에게 여러 배지를 발급하여 다기능을 활용한 탐지 엔지니어링 능력을 인정하고 인정할 계획입니다. Uncoder AI 가 탐지 엔지니어링 결과를 얻는데 얼마나 유익한지 Threat Bounty 회원들이 기쁘게 생각하며, 프로그램 내에서 결과를 얻기 위한 도구로서 활용하며 그들의 전문성을 확장하는 코치로 활용하고 있습니다.

AI 지원 기술로 탐지 엔지니어링 기술을 새롭게 하고 집단 사이버 방어의 일원이 될 기회를 찾고 계신가요? 시작하세요. Threat Bounty 프로그램 에서 오늘.