SOC Prime 위협 현상금 다이제스트 — 2023년 12월 결과

위협 바운티 콘텐츠 수락

SOC Prime의 위협 바운티 프로그램이 시작된 이래로, 우리는 위협 탐지 콘텐츠에 대한 실제 실시간 수요에 맞춰 숙련되고 열정적인 탐지 엔지니어들이 그들의 기술을 조정할 수 있도록 지원해 왔습니다. 2023년 동안 우리는 위협 바운티 회원들의 노력을 플래폼의 진화와 맞추기 위해 계속해서 노력하였으며, 이는 콘텐츠 수락 기준의 일부 변경을 야기했습니다. 즉, 우리는 저수준 IOC에 기반한 규칙, 다른 보안 솔루션의 경고를 기반으로 경고를 트리거하도록 설계된 규칙, 적용 가능성 또는 적응성이 제한된 규칙에 대해 콘텐츠 검증 절차 및 게시 가이드를 엄격히 따르고 있습니다. — 이는 ‘SOC Prime 플랫폼에서 장기 사용에 대한 내구성이 낮음’으로 불립니다. SOC Prime에서는 이번 공동 노력과 피드백 공유가 오늘날 사이버보안 산업에서 필수적인 전문 기술 개발을 장려한다고 확신합니다.

모든 위협 바운티 프로그램 회원들이 콘텐츠 수락 규칙을 고려하고 콘텐츠 개선이나 게시 거부 사유와 관련된 일반 추천 사항에 주의를 기울이기를 바랍니다.

이달의 TOP 위협 바운티 탐지 규칙

SOC Prime 플랫폼에서 위협 바운티 개발자들이 제작한 다음의 탐지는 가장 인기 있는 것들이었습니다:

프로세스 생성 관련 명령줄 매개변수의 탐지를 통해 북한 APT38/라자루스 그룹의 지속 가능성 탐지 가능성 – 위협 헌팅 규칙 제작자: Davut Selcuk 북한 APT38/라자루스 그룹의 지속 가능성 지표를 식별하기 위해 관련 명령줄 매개변수의 탐지를 활용하여 사용합니다.

의심스러운 명령어 탐지를 통해 엑셀 또는 워드 문서에 악성 VBA 코드가 실행될 가능성 – 위협 헌팅 규칙 제작자: Emre Ay 의심스러운 PowerShell 명령어를 사용하여 엑셀 또는 워드 문서에 악성 VBA 코드를 실행하려는 위협 행위자를 탐지합니다.

DarkGate 악성 소프트웨어 활동의 의심스러운 레지스트리 키 변경 (레지스트리 이벤트를 통해) – 위협 헌팅 규칙 제작자: Davut Selcuk DarkGate와 관련된 레지스트리 키 변경을 탐지합니다.

PowerShell 플러그인을 사용하여 MS Exchange 환경에서 PowerShell 스크립트 블록을 통해 이메일을 덤프하는 에이전트 라쿤 악성 소프트웨어 실행 가능성 – 위협 헌팅 규칙 제작자: Nattatorn Chuensangarun 전자 메일 덤프를 위해 MS Exchange 환경 내 IIS 시스템 디렉토리(inetsrv) 내에서 악성 PST 파일을 실행하는 PowerShell 플러그인을 사용하여 의심스러운 에이전트 라쿤 악성 소프트웨어 활동을 탐지합니다.

VIM-CMD를 통해 모든 ESXi 가상 머신 및 스냅샷 삭제 가능성에 관한 랜섬웨어 위협 활동 – 위협 헌팅 규칙 제작자: Kaan Yeniyol VMSVC 명령을 사용하여 ESXi 장치에서 스냅샷과 가상 머신을 삭제하는 것을 탐지합니다. 랜섬웨어 그룹이 ESXi 시스템을 침해한 후, 장치와 연결된 스냅샷을 삭제하고 파일을 암호화합니다.

이달의 최고의 저자

때때로 위협 바운티 회원들이 프로그램에서 활동을 중단하고 더 이상 활발한 위협 바운티 저자로서의 특권을 가지지 않더라도, 그들의 탐지는 여전히 SOC Prime을 활용하는 기업들이 사이버 위협에 맞서도록 합니다:

Sittikorn Sangrattanapitak

Nattatorn Chuensangarun

Emre Ay

Emir Erdogan

Osman Demir

다음의 저자들은 SOC Prime 팀의 품질 검증을 통과한 탐지 콘텐츠로 뛰어난 기여를 한 것으로 입증되었습니다:

Davut Selcuk

Nattatorn Chuensangarun

Phyo Paing Htun

CST 

Mustafa Gurkan KARAKAYA

다가올 변경 사항을 가장 먼저 알기 위해 뉴스, 업데이트, 커뮤니티 논의를 주목하세요 위협 바운티 프로그램, 그리고 SOC Prime의 혁신으로 강화된 위협 바운티 탐지를 통해 전 세계 기업들이 새로운 위협으로부터 방어할 수 있도록 주저하지 마십시오. SOC Prime의 혁신.